det0130-detect-unauthorized-access-to-cloud-secrets-management-stores

# DET0130 — Detect Unauthorized Access to Cloud Secrets Management Stores ## Descrição Esta estratégia detecta acesso não autorizado a serviços de gerenciamento de segredos em nuvem como AWS Secrets Manager, Azure Key Vault e GCP Secret Manager. Adversários que comprometem credenciais cloud ou roles IAM frequentemente acessam esses stores para obter credenciais de banco de dados, chaves de API, tokens de serviço e outros segredos privilegiados. Os indicadores centrais são chamadas de API a operações sensíveis (`GetSecretValue`, `SecretBundle.get`, `accessSecretVersion`) por identidades que normalmente não interagem com esses serviços, especialmente a partir de IPs externos, instâncias EC2/VMs não autorizadas, ou em horários fora do padrão operacional. Enumeração de segredos (`ListSecrets`, `ListSecretVersionIds`) sem acesso subsequente legítimo é sinal de reconhecimento. A telemetria vem de CloudTrail (AWS), Azure Monitor/Diagnostic Logs, e GCP Cloud Audit Logs. Alertas devem ser configurados para acesso a segredos de alta sensibilidade por qualquer identidade não catalogada na política de acesso, e para padrões de acesso em lote (múltiplos segredos em curto intervalo) sugestivos de exfiltração automatizada. ## Indicadores de Detecção - `GetSecretValue` no AWS CloudTrail por role ou usuário IAM sem histórico de acesso ao segredo - Acesso a Key Vault no Azure por service principal não mapeado na política de acesso - Enumeração de segredos (`ListSecrets`) seguida de acesso a múltiplos itens em <5 minutos - Chamada à API de segredos originada de IP externo ou instância sem tag de ambiente - Acesso a segredos de produção por identidade de ambiente de desenvolvimento/staging ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] ## Analytics Relacionadas - [[an0366-analytic-0366|AN0366 — Analytic 0366]] --- *Fonte: [MITRE ATT&CK — DET0130](https://attack.mitre.org/detectionstrategies/DET0130)*