# AN1636 — Analytic 1636 ## Descrição Esta analítica detecta exploração de limites de segurança em IaaS cloud para evadir controles defensivos, incluindo chamadas de API anômalas que contornam auditoria de logs, desativam monitoramento ou manipulam guardrails como CloudTrail, evidenciável pela ausência de telemetria esperada após ações de alto risco. A telemetria inclui eventos CloudTrail de desativação de logging (`StopLogging`, `DeleteTrail`), alertas de AWS Config para mudanças em políticas de segurança e correlação de tentativas de exploração com lacunas subsequentes de telemetria nas timelines de evento. Esta detecção é essencial porque a supressão de auditoria cloud é um precursor clássico de movimentos laterais e exfiltração de dados em ambientes IaaS comprometidos. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1636](https://attack.mitre.org/detectionstrategies/DET0595#AN1636)*