# AN1580 — Analytic 1580 ## Descrição Detecta compartilhamento de snapshots, exportações de backup ou transferências de objetos de dados de contas cloud da vítima para outras identidades cloud no mesmo provedor (ex: AWS, Azure) por meio de compartilhamento de snapshots, atualizações de política de bucket S3 ou geração de URIs SAS. A telemetria é obtida de logs de auditoria cloud (AWS CloudTrail, Azure Activity Log, GCP Audit Log), que registram todas as operações de compartilhamento e transferência de dados entre contas. Essa técnica é usada por adversários para exfiltrar dados persistindo no ecossistema do provedor cloud sem gerar tráfego de rede externo detectável. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1580](https://attack.mitre.org/detectionstrategies/DET0573#AN1580)*