# AN1615 — Analytic 1615 ## Descrição Esta analítica detecta chamadas de API que listam usuários, roles IAM ou grupos em ambientes de nuvem (AWS `ListUsers`, `ListRoles`; Azure `Get-AzRoleAssignment`; GCP IAM list), indicativas de reconhecimento de identidades por adversários com credenciais cloud comprometidas. A telemetria é fornecida por serviços de auditoria cloud nativos (AWS CloudTrail, Azure Monitor, GCP Cloud Audit Logs), com foco em chamadas de listagem massiva originadas de IPs incomuns ou fora de janelas de administração. Esta detecção é fundamental em ambientes IaaS porque o mapeamento de identidades precede ataques de escalada de privilégios via misconfigured roles e criação de contas de backdoor cloud. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1615](https://attack.mitre.org/detectionstrategies/DET0587#AN1615)*