# DC0090 — Cloud Service Disable ## Descrição **Cloud Service Disable** monitora ações que desativam ou interrompem serviços em um ambiente cloud — especialmente serviços de logging, monitoramento e auditoria. Este componente é crítico porque a desativação de serviços de observabilidade é uma das primeiras ações realizadas por adversários após obter acesso privilegiado a ambientes cloud, com o objetivo de eliminar rastros e operar sem detecção. O exemplo mais prevalente é a chamada `StopLogging` da API do AWS CloudTrail, que interrompe o registro de chamadas de API para uma trilha específica. Ataques similares ocorrem no Azure (desabilitação do Azure Monitor Diagnostic Settings) e no GCP (exclusão ou desativação de sinks no Cloud Logging). Em ambientes SaaS como Office 365, a desativação do Unified Audit Log tem o mesmo efeito devastador para a capacidade de investigação forense. A detecção deste comportamento deve ter **alta prioridade e baixo threshold de alertas**. Qualquer ação de desativação de logging em produção deve gerar alerta imediato, pois não existe razão legítima para desativar trilhas de auditoria em ambientes de produção sem um processo formal de change management. A correlação temporal entre desativação de logs e outras atividades (exfiltração, modificação de recursos) é frequentemente o sinal mais claro de um incidente ativo. Organizações maduras implementam alertas de "canário" — se o CloudTrail for desativado, um alarme CloudWatch é disparado automaticamente via SNS, mesmo que os logs subsequentes sejam suprimidos. Esta resiliência é fundamental para detectar este componente. ## Telemetria | Plataforma | Fonte de Log | API / Operação | Prioridade | |------------|-------------|----------------|-----------| | AWS | CloudTrail | `StopLogging`, `DeleteTrail`, `UpdateTrail` | CRÍTICA | | AWS | CloudWatch | Alarm: `CloudTrailChanges` | Alertar imediatamente | | Azure | Activity Log | `microsoft.insights/diagnosticsettings/delete` | CRÍTICA | | GCP | Cloud Audit Logs | `logging.sinks.delete`, `logging.sinks.updaté` | CRÍTICA | | Office 365 | Unified Audit Log | `Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false` | CRÍTICA | | Kubernetes | API Server Audit | `delete` on `audit` resources | Alta | ## Queries de Detecção ### KQL — Microsoft Sentinel (Azure — desativação de diagnóstico) ```kql AzureActivity | where OperationNameValue has_any ( "microsoft.insights/diagnosticsettings/delete", "microsoft.insights/diagnosticsettings/write", "microsoft.operationalinsights/workspaces/delete", "microsoft.security/pricings/write" ) | where ActivityStatusValue == "Success" | project TimeGenerated, Caller, CallerIpAddress, OperationNameValue, ResourceGroup, Resource | order by TimeGenerated desc ``` ### SPL — Splunk (AWS CloudTrail — stop/delete logging) ```spl index=aws sourcetype=aws:cloudtrail eventName IN ("StopLogging", "DeleteTrail", "UpdateTrail", "DeleteFlowLogs", "DisableKey", "DeleteDetector", "DisableSecurityHub", "DisableGuardDuty") | table _time, userIdentity.arn, sourceIPAddress, eventName, requestParameters.name, awsRegion | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1562-impair-defenses\|Impair Defenses]] | T1562 | Defense Evasion | | [[T1562.008-disable-cloud-logs\|Disable Cloud Logs]] | T1562.008 | Defense Evasion | | [[t1489-service-stop\|Service Stop]] | T1489 | Impact | | [[t1578-modify-cloud-compute-infrastructure\|Modify Cloud Compute Infrastructure]] | T1578 | Defense Evasion | Ver também: [[ds0025-cloud-service|DS0025 — Cloud Service]], [[dc0083-cloud-service-enumeration|DC0083 — Cloud Service Enumeration]], [[dc0070-cloud-service-metadata|DC0070 — Cloud Service Metadata]]. ## Contexto LATAM > [!danger] Alto risco para organizações brasileiras em cloud > Incidentes reportados pelo CERT.br e por MSSPs atuando no Brasil identificaram a desativação do CloudTrail como etapa inicial em múltiplos ataques de ransomware e exfiltração de dados contra empresas do setor [[financial]] e [[government]] que operam em AWS. Grupos como [[g1015-scattered-spider]] e [[g1004-lapsus]] documentadamente usam esta técnica para eliminar evidências antes de realizar exfiltração massiva. A recomendação crítica é implementar alertas de CloudWatch com SNS que disparam **antes** que os logs sejam suprimidos, garantindo notificação mesmo que o logging sejá desativado. ## Referências - [MITRE ATT&CK — DC0090 Cloud Service Disable](https://attack.mitre.org/datacomponents/DC0090) - [MITRE ATT&CK — T1562.008 Disable Cloud Logs](https://attack.mitre.org/techniques/T1562/008/) - [AWS — Monitoring CloudTrail Changes with CloudWatch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html) - [Azure — Monitor Diagnostic Settings](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/diagnostic-settings) - [[_data-sources|DS0025 — Cloud Service (parent data source)]]