det0041-detection-of-lifecycle-policy-modifications-for-triggered-deletion-in-ia

# DET0041 — Detection of Lifecycle Policy Modifications for Triggered Deletion in IaaS Cloud Storage ## Descrição Esta estratégia detecta modificações maliciosas em políticas de ciclo de vida de armazenamento em nuvem IaaS (como AWS S3, Azure Blob Storage e GCP Cloud Storage) com o objetivo de provocar a exclusão automática de dados. Adversários exploram esse mecanismo legítimo de gerenciamento de armazenamento para causar destruição de dados de forma discreta, sem disparar alertas associados a exclusões diretas. A técnica está alinhada com [[t1485-data-destruction|T1485-data-destruction]], onde o agente de ameaça configura regras de expiração com prazos curtos para eliminar backups, logs de auditoria ou dados críticos. Por se tratar de uma ação de administração comum em ambientes cloud, a atividade pode passar despercebida por analistas sem correlação temporal adequada. A detecção baseia-se no monitoramento de chamadas de API de gerenciamento de buckets/containers, especialmente operações como `PutBucketLifecycle` (AWS) ou equivalentes em outros provedores, correlacionadas com criação recente do recurso ou perfis de usuário incomuns para esse tipo de operação. ## Indicadores de Detecção - Chamadas `PutBucketLifecycle`, `SetLifecyclePolicy` ou equivalentes fora do horário comercial ou por usuários não-administradores - Políticas com `ExpirationInDays` configurado para valores muito baixos (< 7 dias) - Modificação de política de ciclo de vida seguida de exclusão em massa de objetos pouco depois - Usuário IAM/service account realizando operação de lifecycle sem histórico anterior dessa ação - Remoção de versioning habilitado no bucket combinada com nova política de expiração ## Técnicas Relacionadas - [[t1485-data-destruction|T1485-data-destruction]] — destruição de dados via políticas automatizadas de nuvem - [[t1530-data-from-cloud-storage|T1530-data-from-cloud-storage]] — acesso e exfiltração antes da exclusão programada - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — modificação de infraestrutura cloud para impacto - [[t1562-impair-defenses|T1562-impair-defenses]] — exclusão de logs armazenados em buckets - [[t1070-indicator-removal|T1070-indicator-removal]] — eliminação de evidências forenses via expiração ## Analytics Relacionadas - [[an0117-analytic-0117|AN0117 — Analytic 0117]] --- *Fonte: [MITRE ATT&CK — DET0041](https://attack.mitre.org/detectionstrategies/DET0041)*