# DC0069 — Cloud Service Modification ## Descrição O **Cloud Service Modification** monitora alterações feitas nas configurações, permissões ou propriedades de serviços em ambientes cloud — AWS, Azure, GCP, Oracle Cloud e similares. Essas modificações podem ser administrativas legítimas ou ações maliciosas como desabilitação de logging, escalação de privilégios via alteração de IAM roles, ou reconfiguração de recursos para facilitar exfiltração de dados. As modificações mais críticas a monitorar incluem: desabilitação de serviços de logging e auditoria (AWS CloudTrail `StopLogging`, Azure Monitor `DeleteDiagnosticSetting`), alterações em IAM policies que concedem permissões excessivas, modificações em Security Groups ou Network ACLs que abrem portas para acesso externo, e alterações em funções Lambda/Azure Functions que podem ser usadas para execução de código malicioso. Essas ações mapeiam para [[t1562-impair-defenses|T1562-impair-defenses]] (quando visam reduzir visibilidade) e [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] (quando modificam infraestrutura de compute). O [[t1484-domain-or-tenant-policy-modification]] também se manifesta em cloud via alterações em políticas de Azure Active Directory, AWS Organizations SCPs, ou GCP Organization Policies — um adversário com permissões suficientes pode modificar políticas para persistência ou evasão de controles. A detecção depende fortemente da coleta de logs de controle cloud: AWS CloudTrail, Azure Activity Log, GCP Cloud Audit Logs. Sem esses logs habilitados e centralizados em um SIEM, a visibilidade sobre modificações cloud é práticamente nula — o que torna a própria desabilitação desses logs um sinal crítico de alerta. ## Telemetria | Plataforma | Event ID / API Call | Descrição | Log Source | |---|---|---|---| | AWS | `StopLogging` / `DeleteTrail` | Desabilitação do CloudTrail | AWS CloudTrail | | AWS | `PutBucketPolicy` / `ModifyDBInstance` | Modificação de recursos S3, RDS, EC2 | AWS CloudTrail | | Azure | `Microsoft.Security/policies/write` | Alteração de política de segurança | Azure Activity Log | | Azure | `Microsoft.Authorization/roleAssignments/write` | Atribuição de roles RBAC | Azure Activity Log | | GCP | `cloudresourcemanager.projects.setIamPolicy` | Alteração de IAM do projeto | GCP Cloud Audit | | GCP | `logging.sinks.delete` | Remoção de sink de logging | GCP Cloud Audit | | Office 365 | `Set-AdminAuditLogConfig` | Modificação de configuração de auditoria | Unified Audit Log | ## Queries de Detecção ### KQL — Azure Sentinel (Azure Activity Log) ```kql // Modificações críticas de segurança no Azure AzureActivity | where OperationNameValue in~ ( "Microsoft.Security/policies/write", "Microsoft.Authorization/roleAssignments/write", "microsoft.insights/diagnosticSettings/delete", "Microsoft.Security/securityContacts/delete" ) | where ActivityStatusValue == "Success" | project TimeGenerated, Caller, OperationNameValue, ResourceGroup, Resource, CallerIpAddress, HTTPRequest | order by TimeGenerated desc ``` ### SPL — Splunk (AWS CloudTrail) ```spl index=aws_cloudtrail eventName IN ( "StopLogging", "DeleteTrail", "UpdateTrail", "PutBucketAcl", "PutBucketPolicy", "CreateLoginProfile", "AttachUserPolicy", "AttachRolePolicy", "DeleteFlowLogs", "DeleteDetector" ) userAgent != "*.amazonaws.com*" | eval risk=case( eventName IN ("StopLogging", "DeleteTrail", "DeleteDetector"), "critical", eventName IN ("AttachUserPolicy", "AttachRolePolicy", "CreateLoginProfile"), "high", 1=1, "medium") | stats count by userIdentity.arn, eventName, awsRegion, risk | sort - risk, count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1578-modify-cloud-compute-infrastructure\|T1578-modify-cloud-compute-infrastructure]] | Modify Cloud Compute Infrastructure | Alteração direta de recursos de compute cloud | | [[t1562-impair-defenses\|T1562-impair-defenses]] | Impair Defenses | Desabilitação de CloudTrail, Azure Monitor, GCP Logging | | [[t1484-domain-or-tenant-policy-modification]] | Domain Policy Modification | Alterações em Azure AD, AWS Organizations, GCP Org Policies | ## Contexto LATAM > [!globe] Relevância Regional > A adoção cloud no Brasil tem crescido aceleradamente — AWS e Azure dominam o mercado corporativo brasileiro, e o monitoramento de Cloud Service Modification é um gap crítico em muitas organizações. Ataques como o comprometimento do ambiente AWS da Netshoes e incidentes em fintechs brasileiras frequentemente incluem modificação de políticas IAM para persistência. A centralização dos logs CloudTrail e Azure Activity Log em um SIEM (Microsoft Sentinel, Splunk ou Elastic) é prioridade para SOCs com presença cloud no Brasil. ## Referências - [MITRE ATT&CK — DC0069 Cloud Service Modification](https://attack.mitre.org/datasources/DS0025/#Cloud%20Service%20Modification) - [AWS CloudTrail — Logging Management Events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) - [Azure Activity Log — Overview](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log) - [[ds0025-cloud-service|DS0025 — Cloud Service]] - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] - [[t1562-impair-defenses|T1562-impair-defenses]]