det0169-detection-strategy-for-cloud-infrastructure-discovery

# DET0169 — Detection Strategy for Cloud Infrastructure Discovery ## Descrição Esta estratégia detecta reconhecimento de infraestrutura cloud realizado por adversários após acesso inicial a ambientes AWS, Azure ou GCP — mapeado em [[t1580-cloud-infrastructure-discovery|T1580 - Cloud Infrastructure Discovery]]. Atacantes utilizam CLIs cloud (`aws`, `az`, `gcloud`), SDKs ou APIs diretamente para enumerar instâncias, buckets, funções Lambda, grupos de segurança, VPCs e identidades IAM, construindo um mapa da infraestrutura antes de se mover lateralmente ou exfiltrar dados. Os indicadores incluem volume anormalmente alto de chamadas a APIs de enumeração em curto período (ex: `DescribeInstances`, `ListBuckets`, `ListFunctions`), uso de credenciais de serviço para realizar descoberta a partir de IP externo ou região incomum, e acesso a metadados de infraestrutura (IMDS endpoint `169.254.169.254`) por processos não esperados. CloudTrail (AWS), Activity Log (Azure) e Cloud Audit Logs (GCP) são as fontes primárias. Baseline de chamadas API por identidade é fundamental: um papel IAM de aplicação que normalmente chama 5 APIs/hora realizando 500 chamadas de descoberta é anomalia clara. Correlacionar com geolocalização do IP de origem e horário de acesso aumenta a detecção de comprometimento de credenciais. ## Indicadores de Detecção - Burst de chamadas a APIs de listagem (`Describe*`, `List*`, `Get*`) em janela de minutos - Chamadas de IP externo ou região não utilizada habitualmente pela identidade - Acesso ao endpoint IMDS por processo não-aplicação em instância cloud - Enumeração de grupos IAM, roles e políticas por identidade de serviço - `aws s3 ls`, `az resource list` ou `gcloud compute instances list` executados sem automação conhecida ## Técnicas Relacionadas - [[t1580-cloud-infrastructure-discovery|T1580 - Cloud Infrastructure Discovery]] — técnica principal detectada - [[t1087-account-discovery|T1087 - Account Discovery]] — frequentemente combinado para enumerar identidades IAM - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] — próximo passo após discovery - [[T1078.004 - Valid Accounts: Cloud Accounts]] — vetor de acesso relacionado ## Analytics Relacionadas - [[an0481-analytic-0481|AN0481 — Analytic 0481]] --- *Fonte: [MITRE ATT&CK — DET0169](https://attack.mitre.org/detectionstrategies/DET0169)*