# AN1594 — Analytic 1594 ## Descrição Detecta enumeração suspeita de objetos de armazenamento cloud via chamadas de API como AWS S3 ListObjectsV2, Azure List Blobs ou GCP ListObjects, correlacionando acessos com o papel da conta, contexto de usuário e atividade de autenticação prévia para identificar padrões de uso anômalos (ex: conta incomum, regiões inesperadas ou enumeração em larga escala em janelas de tempo curtas). A telemetria é obtida de AWS CloudTrail, Azure Activity Log e GCP Audit Log, que registram todas as operações de controle de acesso e consulta a objetos de armazenamento. Adversários realizam essa enumeração para identificar dados sensíveis disponíveis antes de iniciar a exfiltração. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN1594](https://attack.mitre.org/detectionstrategies/DET0578#AN1594)*