# DC0027 — Cloud Storage Metadata ## Descrição Cloud Storage Metadata fornece informações contextuais sobre a infraestrutura de armazenamento em nuvem e atividades associadas. Inclui atributos como nome do recurso, tamanho, proprietário, permissões, data de criação, região, classe de storage, tags e configurações de acesso. Esses metadados são essenciais para monitoramento, auditoria e identificação de anomalias em ambientes de nuvem. Adversários que realizam reconhecimento da infraestrutura consultam metadados de storage para identificar buckets de alto valor (por nome, tags ou tamanho), verificar configurações de acesso público, descobrir políticas de retenção e mapear a estrutura de dados da organização antes de uma exfiltração. A técnica [[t1619-cloud-storage-object-discovery|T1619]] e [[t1580-cloud-infrastructure-discovery|T1580]] são diretamente relacionadas. Consultas massivas de metadados (HeadBucket, GetBucketTagging, GetBucketVersioning em múltiplos buckets em sequência rápida) por identidades não habituais são indicadores de reconhecimento pré-exfiltração. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `HeadBucket`, `GetBucketTagging`, `GetBucketVersioning`, `GetBucketLocation` | | Azure | Blob Storage / Activity Log | `Microsoft.Storage/storageAccounts/read`, `GetBlobServiceProperties` | | GCP | Cloud Storage / Audit | `storage.buckets.get`, `storage.buckets.getIamPolicy` | | AWS | CloudTrail | `eventName: GetBucketAcl` com `requestParameters.bucketName` e `userIdentity` | | Azure | Azure Monitor | `operationName: Get Blob Service Properties`, `callerIpAddress` | ## Queries de Detecção **KQL — Azure Monitor (consulta de metadados de múltiplos storage accounts em sequência):** ```kql AzureActivity | where OperationNameValue has_any ("read", "listkeys", "getProperties") | where ResourceProviderValue == "Microsoft.Storage" | summarize recursos=dcount(ResourceId), ops=count() by Caller, bin(TimeGenerated, 10m) | where recursos > 10 | project TimeGenerated, Caller, recursos, ops | order by recursos desc ``` ## Técnicas Relacionadas - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] — descoberta de objetos via leitura de metadados - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] — mapeamento de infraestrutura via metadados - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — exfiltração informada por metadados coletados - [[dc0017-cloud-storage-enumeration|DC0017 — Cloud Storage Enumeration]] — enumeração que complementa a leitura de metadados - [[dc0025-cloud-storage-access|DC0025 — Cloud Storage Access]] — acesso subsequente à análise de metadados - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!tip] Tags e Metadados como Vetores de Reconhecimento > Organizações brasileiras frequentemente incluem informações sensíveis em tags de recursos cloud (ambiente, responsável, sistema legado, dados pessoais) que facilitam o reconhecimento por adversários com acesso read-only. Políticas de tagging padronizadas que não exponham classificação de dados em metadados públicos são recomendadas. A **LGPD** e padrões como o **PCI-DSS** (amplamente adotado no setor financeiro brasileiro) exigem inventário e classificação de dados pessoais — os metadados de storage são um insumo direto para esse controle. ## Referências - [MITRE ATT&CK — DC0027 Cloud Storage Metadata](https://attack.mitre.org/datacomponents/DC0027) - [MITRE ATT&CK — T1619 Cloud Storage Object Discovery](https://attack.mitre.org/techniques/T1619/) - [AWS — S3 Bucket Tagging](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) - [Azure — Storage Monitoring](https://learn.microsoft.com/en-us/azure/storage/common/monitor-storage)