# AN1504 — Analytic 1504 ## Descrição Detecta o uso de contas de nuvem para chamadas de API que excedem o escopo normal, como alterações de IAM ou acesso a serviços nunca utilizados anteriormente pela conta. A telemetria inclui logs do CloudTrail (AWS), Azure Activity Log e GCP Cloud Audit Logs, com análise de desvio de comportamento baseada em baseline histórico de cada identidade e alertas para operações de alta sensibilidade realizadas pela primeira vez. Esta analítica é crítica para detectar movimentação lateral e escalonamento de privilégios em ambientes IaaS, onde adversários com credenciais de IAM de baixo privilégio as usam para enumerar e assumir controle progressivo de recursos de nuvem de maior valor. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1504](https://attack.mitre.org/detectionstrategies/DET0546#AN1504)*