det0155-detection-strategy-for-modify-cloud-resource-hierarchy

# DET0155 — Detection Strategy for Modify Cloud Resource Hierarchy ## Descrição Esta estratégia detecta modificações não autorizadas na hierarquia de recursos cloud (T1666) — como movimentação de projetos/subscriptions entre organizações, alteração de ownership de tenant, modificação de políticas de organização no GCP, ou transferência de Azure Management Group. Adversários com acesso privilegiado a ambientes cloud podem reorganizar a hierarquia para isolar recursos comprometidos de monitoramento centralizado, criar contas fora do escopo de billing/compliance, ou persistir após revogação de acesso. Em AWS, isso inclui mover contas fora do Organizations, modificar SCPs (Service Control Policies) ou remover logging de CloudTrail de contas específicas. No GCP, mover projetos para fora da organização ou modificar políticas de organização para desabilitar restrições de segurança. No Azure, modificar grupos de gerenciamento ou mover subscriptions para fora do tenant monitorado. A telemetria inclui AWS CloudTrail para eventos `MoveAccount`, `DetachPolicy`, `DisableAWSServiceAccess`; GCP Cloud Audit Logs para `resourcemanager.projects.move`, `SetIamPolicy` no nível de organização; Azure Activity Log para `Microsoft.Management/managementGroups/write` e `subscription move` operations. Alertas devem ser configurados para qualquer modificação de estrutura de organização fora de processo de mudança aprovado. ## Indicadores de Detecção - `MoveAccount` no AWS CloudTrail movendo conta para fora de OU monitorada - `DetachPolicy` removendo SCP de segurança de uma conta ou OU AWS - `resourcemanager.projects.move` no GCP movendo projeto para fora da organização - Modificação de `Microsoft.Management/managementGroups` no Azure por identity não-gerenciamento-cloud - Alteração de política de organização desabilitando restrição de segurança (ex: `constraints/compute.requireOsLogin`) ## Técnicas Relacionadas - [[t1666-modify-cloud-resource-hierarchy|T1666 — Modify Cloud Resource Hierarchy]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an0442-analytic-0442|AN0442 — Analytic 0442]] --- *Fonte: [MITRE ATT&CK — DET0155](https://attack.mitre.org/detectionstrategies/DET0155)*