det0008-behavioral-detection-of-remote-cloud-logins-via-valid-accounts

# DET0008 — Behavioral Detection of Remote Cloud Logins via Valid Accounts ## Descrição Esta estratégia detecta o uso de credenciais válidas comprometidas para acesso remoto a ambientes de nuvem — um dos vetores de ataque mais comuns em incidentes cloud-native. Diferente de ataques baseados em exploits, o uso de credenciais legítimas não gera alertas de segurança tradicionais, exigindo análise comportamental para identificar anomalias. Os indicadores chave são desvios do padrão histórico do usuário: localização geográfica incomum, horário de acesso fora do padrão, agente de usuário novo, ausência de MFA em conta que normalmente o utiliza, e sequência de ações atípica após login (enumeração imediata de recursos, download em massa). Em ambientes AWS, GCP e Azure, os logs de autenticação (CloudTrail, Cloud Audit Logs, Azure Sign-in Logs) são a fonte primária. A detecção por baseline comportamental (User and Entity Behavior Analytics — UEBA) é mais eficaz que regras estáticas para este cenário, pois as credenciais são genuínas e o comportamento pós-login é a única diferença detectável. ## Indicadores de Detecção - Login bem-sucedido de país ou ASN não utilizado anteriormente pela conta - Acesso à console cloud sem MFA quando o usuário habitualmente usa MFA - Sequência login → enumerar IAM roles → AssumeRole → acessar S3/buckets dentro de minutos - Mesmo usuário autenticando de duas localizações geograficamente impossíveis em curto intervalo - Login via CLI/API key após período prolongado de inatividade da key ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0017-analytic-0017|AN0017 — Analytic 0017]] - [[an0018-analytic-0018|AN0018 — Analytic 0018]] - [[an0019-analytic-0019|AN0019 — Analytic 0019]] - [[an0020-analytic-0020|AN0020 — Analytic 0020]] --- *Fonte: [MITRE ATT&CK — DET0008](https://attack.mitre.org/detectionstrategies/DET0008)*