# DC0070 — Cloud Service Metadata ## Descrição **Cloud Service Metadata** é o componente de dados que captura informações contextuais e descritivas sobre serviços em nuvem, incluindo nome, tipo, finalidade, configuração e status operacional. Essa telemetria é fundamental para compreender o papel dos serviços em execução em ambientes cloud — sejá AWS, Azure, Google Cloud ou plataformas SaaS — e detectar anomalias indicativas de reconhecimento ou abuso. Adversários frequentemente consultam metadados de serviços cloud na fase de reconhecimento pós-acesso (post-compromise discovery) para mapear recursos disponíveis, identificar configurações fracas e planejar movimentos laterais ou exfiltração de dados. Chamadas como `DescribeInstances` (AWS), `gcloud compute instances describe` (GCP) ou consultas ao Azure Resource Manager são exemplos típicos de coleta de metadados. A coleta deste componente pode ser realizada via CloudTrail (AWS), Azure Monitor Activity Log, Google Cloud Audit Logs e APIs nativas de management. A correlação de chamadas de metadados com outras atividades — especialmente quando originadas de contas recém-criadas ou de IPs desconhecidos — é um indicador forte de atividade adversarial. Em contexto de resposta a incidentes, metadados de serviços cloud fornecem a trilha de auditoria necessária para reconstruir quais recursos foram acessados, em que momento, e por qual identidade. A ausência ou manipulação desses logs é, por si só, um indicador de comprometimento. ## Telemetria | Plataforma | Fonte de Log | Evento / API | Notas | |------------|-------------|--------------|-------| | AWS | CloudTrail | `DescribeInstances`, `DescribeSecurityGroups`, `ListBuckets` | Filtrar por user-agent e source IP | | Azure | Activity Log | `Microsoft.Resources/subscriptions/resources/read` | Correlacionar com Azure AD Sign-in | | GCP | Cloud Audit Logs | `compute.instances.get`, `storage.buckets.list` | Logs de Data Access habilitados | | Office 365 | Unified Audit Log | `FileAccessed`, `SiteCollectionAdminAdded` | Requer licença E3/E5 | | Kubernetes | API Server Audit | `get pods`, `describe nodes` | Nível `RequestResponse` recomendado | ## Queries de Detecção ### KQL — Azure Monitor (Activity Log) ```kql AzureActivity | where OperationNameValue has_any ("Microsoft.Resources/subscriptions/resources/read", "Microsoft.Compute/virtualMachines/read", "Microsoft.Storage/storageAccounts/read") | where ActivityStatusValue == "Success" | summarize count() by CallerIpAddress, Caller, bin(TimeGenerated, 1h) | where count_ > 50 | project TimeGenerated, Caller, CallerIpAddress, count_ | order by count_ desc ``` ### SPL — Splunk (AWS CloudTrail) ```spl index=aws sourcetype=aws:cloudtrail eventName IN ("DescribeInstances", "DescribeSecurityGroups", "ListBuckets", "GetCallerIdentity", "ListRoles", "DescribeVpcs") | stats count by userIdentity.arn, sourceIPAddress, eventName | where count > 20 | sort - count | table _time, userIdentity.arn, sourceIPAddress, eventName, count ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1580-cloud-infrastructure-discovery\|Cloud Infrastructure Discovery]] | T1580 | Discovery | | [[t1526-cloud-service-discovery\|Cloud Service Discovery]] | T1526 | Discovery | | [[t1619-cloud-storage-object-discovery\|Cloud Storage Object Discovery]] | T1619 | Discovery | | [[t1613-container-and-resource-discovery\|Container and Resource Discovery]] | T1613 | Discovery | Ver também: [[ds0025-cloud-service|DS0025 — Cloud Service]], [[dc0083-cloud-service-enumeration|DC0083 — Cloud Service Enumeration]], [[dc0090-cloud-service-disable|DC0090 — Cloud Service Disable]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Grupos como [[g1015-scattered-spider]] e operadores de ransomware como [[lockbit]] têm explorado ambientes cloud de organizações financeiras e de varejo no Brasil, utilizando chamadas de metadados para mapear infraestrutura antes de escalar privilégios. A adoção acelerada de cloud por empresas brasileiras — sem maturidade equivalente em monitoramento de Cloud Audit Logs — cria uma janela de oportunidade significativa. Setores de [[financial]] e [[telecomunicações]] são os alvos mais frequentes na região. ## Referências - [MITRE ATT&CK — DC0070 Cloud Service Metadata](https://attack.mitre.org/datacomponents/DC0070) - [AWS CloudTrail — Logging API Calls](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) - [Azure Monitor Activity Log](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log) - [Google Cloud Audit Logs](https://cloud.google.com/logging/docs/audit) - [[_data-sources|DS0025 — Cloud Service (parent data source)]]