# DC0062 — Snapshot Metadata ## Descrição Snapshot Metadata refere-se aos dados contextuais sobre um snapshot, que incluem informações como identificador único (ID), tipo, status, tamanho, data de criação, tags associadas, configuração de criptografia e permissões de compartilhamento. Este componente de dados captura eventos em que metadados de snapshots são lidos ou consultados por meio de APIs como `DescribeSnapshots` (AWS), `Microsoft.Compute/snapshots/read` (Azure) ou `compute.snapshots.get` (GCP). O acesso a metadados de snapshots é frequentemente o primeiro passo de um ataque orientado a backup cloud. Adversários consultam metadados para identificar snapshots não criptografados, snapshots com permissões abertas, ou snapshots de volumes contendo dados de aplicações críticas (identificados por tags como `Environment=Production` ou `Database=true`). Essa informação orienta a seleção de alvos para exfiltração, modificação de permissões ou deleção. A distinção entre Snapshot Metadata e Snapshot Enumeration (DC0047) é sutil: enumeration foca na listagem de snapshots existentes, enquanto metadata foca na leitura de atributos detalhados de snapshots específicos. Na prática, ambos os componentes são coletados pelas mesmas fontes de log e frequentemente se sobrepõem nas queries de detecção. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS | CloudTrail | `DescribeSnapshots`, `GetSnapshotAttributes`, `DescribeSnapshotAttribute` | Verificar `requestParameters.snapshotId` | | Azure | Activity Log | `Microsoft.Compute/snapshots/read` | Correlacionar com ações subsequentes no mesmo recurso | | GCP | Cloud Logging | `compute.snapshots.get`, `compute.snapshots.getIamPolicy` | `protoPayload.authorizationInfo` indica permissão solicitada | | AWS RDS | CloudTrail | `DescribeDBSnapshotAttributes`, `DescribeDBSnapshots` | Metadados de snapshots de banco de dados | ## Queries de Detecção ### KQL — Azure: leitura massiva de metadados de snapshot por IP externo ```kql AzureActivity | where OperationNameValue == "microsoft.compute/snapshots/read" | summarize ReadCount = count(), DistinctSnapshots = dcount(Resource) by CallerIpAddress, Caller, bin(TimeGenerated, 15m) | where ReadCount > 30 or DistinctSnapshots > 15 | project TimeGenerated, Caller, CallerIpAddress, ReadCount, DistinctSnapshots | order by ReadCount desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1580-cloud-infrastructure-discovery\|T1580-cloud-infrastructure-discovery]] | Cloud Infrastructure Discovery | Técnica primária — leitura de metadados de snapshots é vetor de T1580 | | [[t1537-transfer-data-to-cloud-account\|T1537-transfer-data-to-cloud-account]] | Transfer Data to Cloud Account | Metadados consultados para selecionar alvos de exfiltração | | [[t1526-cloud-service-discovery\|T1526-cloud-service-discovery]] | Cloud Service Discovery | Contexto de reconhecimento cloud mais amplo | > **Ver também:** [[ds0020-snapshot|DS0020 — Snapshot]], [[dc0047-snapshot-enumeration]], [[dc0057-snapshot-creation]], [[dc0058-snapshot-modification]], [[dc0049-snapshot-deletion]] ## Contexto LATAM > [!info] Reconhecimento de snapshots e LGPD > Organizações brasileiras frequentemente usam tags em snapshots para indicar o ambiente (`producao`, `homologacao`) e o tipo de dado armazenado. Adversários que acessam metadados de snapshots podem usar essas tags para identificar alvos de alto valor — como snapshots de bancos de dados de clientes sujeitos à [[LGPD]] — sem precisar restaurar o volume. A AWS recomenda o uso de AWS Config e AWS Security Hub para monitorar continuamente configurações de snapshots. No contexto regulatório brasileiro, manter logs de acesso a metadados de backups por 12 meses é uma boa prática alinhada às recomendações do Banco Central para instituições financeiras supervisionadas pela Resolução BCB nº 85/2021. ## Referências - [MITRE ATT&CK — DC0062 Snapshot Metadata](https://attack.mitre.org/datacomponents/DC0062) - [MITRE ATT&CK — T1580 Cloud Infrastructure Discovery](https://attack.mitre.org/techniques/T1580/) - [AWS — DescribeSnapshots API Reference](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSnapshots.html) - [AWS Security Hub — EBS Snapshot Controls](https://docs.aws.amazon.com/securityhub/latest/userguide/ebs-controls.html) - [GCP — Cloud Audit Logs for Compute Engine](https://cloud.google.com/compute/docs/audit-logging)