# AN1608 — Analytic 1608 ## Descrição Esta analítica detecta criação de contas em plataformas IaaS via APIs de serviços cloud ou CLI, frequentemente associada à geração de chaves de acesso programático (access keys) para uso em ataques subsequentes. A telemetria primária é o AWS CloudTrail (ou equivalente GCP/Azure) monitorando eventos `CreateUser`, `CreateAccessKey` e atribuições de políticas IAM fora de janelas de mudança aprovadas. Esta detecção é relevante porque adversários frequentemente criam contas cloud como mecanismo de persistência e escalada, explorando que ambientes IaaS possuem visibilidade fragmentada entre equipes de segurança e cloud operations. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1608](https://attack.mitre.org/detectionstrategies/DET0583#AN1608)*