# DC0100 — Volume Metadata ## Descrição **Volume Metadata** abrange dados contextuais sobre volumes de armazenamento em bloco em ambientes de nuvem, incluindo identificadores únicos (ID do volume), tipo de volume (SSD gp2/gp3, io1, HDD st1), estado operacional (available, in-use, error), tamanho em GiB, zona de disponibilidade, configuração de criptografia, chave KMS associada e tags de identificação. A análise de metadados de volumes é fundamental tanto para descoberta quanto para detecção. Adversários utilizam estes dados para identificar volumes de alto valor — grandes volumes em uso, volumes não criptografados, volumes com tags sugestivas de dados sensíveis — antes de executar ações de exfiltração ou destruição. Para defensores, anomalias nos metadados como mudanças inesperadas no estado de criptografia ou alterações de tags são indicadores de comprometimento. Do ponto de vista de conformidade, metadados de volumes revelam o estado de criptografia de dados em repouso — um requisito regulatório para dados pessoais sob a **LGPD** e dados de cartão sob PCI-DSS. Consultas frequentes a metadados de volumes não criptografados por identidades não habituais combinam indicadores de reconhecimento com potencial violação de conformidade. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `DescribeVolumes`, `DescribeVolumeAttribute` | | Azure | Activity Logs | `Microsoft.Compute/disks/read` | | GCP | Cloud Audit Logs | `v1.compute.disks.get`, `v1.compute.disks.list` | | AWS | Config | Snapshots de configuração de volumes EBS | | Multi-cloud | CSPM | Inventário de volumes com estado de criptografia | ## Queries de Detecção **AWS CloudTrail — Consulta de metadados de volumes não criptografados:** ```sql SELECT eventTime, userIdentity.arn, sourceIPAddress, responseElements.volumeSet.item.volumeId, responseElements.volumeSet.item.encrypted FROM cloudtrail_logs WHERE eventName = 'DescribeVolumes' AND responseElements.volumeSet.item.encrypted = false AND eventTime > NOW() - INTERVAL 24 HOUR ORDER BY eventTime DESC ``` > Consultas a volumes não criptografados por IPs externos ou identidades de serviço incomuns são prioritárias. ## Técnicas Relacionadas - [[t1580-cloud-infrastructure-discovery|T1580-cloud-infrastructure-discovery]] — Consulta de metadados de volumes como parte de descoberta de infraestrutura - [[T1078.004-valid-accounts-cloud-accounts]] — Uso de credenciais cloud legítimas para consultar metadados sensíveis - [[t1526-cloud-service-discovery|T1526-cloud-service-discovery]] — Mapeamento de serviços de armazenamento disponíveis via metadados ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > Auditorias de conformidade realizadas em empresas brasileiras revelam que volumes EBS não criptografados ainda representam uma parcela significativa da infraestrutura cloud — especialmente em ambientes legados migrados para cloud sem revisão de configurações. Adversários com acesso a credenciais IAM comprometidas utilizam `DescribeVolumes` para mapear esses volumes antes de executar exfiltração via snapshot. A implementação de **AWS Config Rule** `encrypted-volumes` e **Security Hub** com controle FSBP.EC2.3 automatiza a detecção de não-conformidade. ## Referências - [MITRE ATT&CK — DC0100 Volume Metadata](https://attack.mitre.org/datacomponents/DC0100) - [AWS — DescribeVolumes API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVolumes.html) - [AWS Security Hub — FSBP EC2.3](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html) - [[ds0034-volume|DS0034 — Volume]] - [[t1580-cloud-infrastructure-discovery|T1580-cloud-infrastructure-discovery]] - [[_defenses|Hub de Defesas]]