# DC0017 — Cloud Storage Enumeration ## Descrição Cloud Storage Enumeration captura eventos de listagem e descoberta de recursos de armazenamento em nuvem, como buckets S3, contêineres Blob e buckets GCS. Essa atividade pode ser legítima (administração de infraestrutura) ou maliciosa (reconhecimento para identificar dados acessíveis ou configurações incorretas). Adversários frequentemente enumeram armazenamento em nuvem como parte do estágio de descoberta, buscando buckets públicos expostos, contêineres com permissões excessivas ou objetos contendo credenciais, backups de banco de dados e informações sensíveis. A técnica [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] documenta esse comportamento, enquanto [[t1530-data-from-cloud-storage|T1530]] descreve a exfiltração subsequente após a descoberta. Sinais de alerta incluem: enumeração em massa de buckets, acesso a múltiplos buckets por um único principal em curto intervalo, enumeração por endereços IP externos ou identidades de serviço não reconhecidas, e tentativas de listagem em buckets de outras contas (cross-account). ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `ListBuckets`, `ListObjects`, `ListObjectsV2`, `ListObjectVersions` | | Azure | Blob Storage / Activity Log | `Microsoft.Storage/storageAccounts/blobServices/containers/read` | | GCP | Cloud Storage / Audit | `storage.buckets.list`, `storage.objects.list` | | AWS | CloudTrail | `eventName: ListBuckets` com `userIdentity.arn` e `sourceIPAddress` | | Azure | Azure Monitor | `operationName: List Containers`, `resourceType: Microsoft.Storage` | ## Queries de Detecção **KQL — Azure Monitor (enumeração massiva de contêineres de armazenamento):** ```kql StorageBlobLogs | where OperationName == "ListContainers" or OperationName == "ListBlobs" | summarize count() by CallerIpAddress, bin(TimeGenerated, 10m) | where count_ > 50 | project TimeGenerated, CallerIpAddress, count_ | order by count_ desc ``` ## Técnicas Relacionadas - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] — descoberta de objetos em armazenamento em nuvem - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — exfiltração de dados após enumeração - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] — descoberta ampla de infraestrutura em nuvem - [[dc0025-cloud-storage-access|DC0025 — Cloud Storage Access]] — acesso subsequente à enumeração - [[dc0027-cloud-storage-metadata|DC0027 — Cloud Storage Metadata]] — metadados revelados durante enumeração - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!warning] Buckets Expostos no Brasil > O Brasil registra incidentes frequentes de buckets S3 e contêineres Azure Blob expostos públicamente, com vazamentos de dados de clientes de setores financeiro, saúde e governo. A adoção crescente de cloud nas regiões **AWS sa-east-1** e **Azure Brazil South** amplia a superfície de ataque. A **LGPD** impõe obrigações de notificação de violação em até 72 horas após ciência do incidente — detecção precoce de enumeração é crítica para cumprir esse prazo. ## Referências - [MITRE ATT&CK — DC0017 Cloud Storage Enumeration](https://attack.mitre.org/datacomponents/DC0017) - [MITRE ATT&CK — T1619 Cloud Storage Object Discovery](https://attack.mitre.org/techniques/T1619/) - [MITRE ATT&CK — T1530 Data from Cloud Storage](https://attack.mitre.org/techniques/T1530/) - [AWS — S3 Server Access Logging](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)