det0211-detection-of-direct-vm-console-access-via-cloud-native-methods

# DET0211 — Detection of Direct VM Console Access via Cloud-Native Methods ## Descrição Esta estratégia detecta acesso direto ao console de máquinas virtuais via APIs nativas de cloud — mapeada para [[T1021 — Remote Services]] em contextos de cloud. Adversários com credenciais de cloud comprometidas (AWS, Azure, GCP) utilizam recursos de acesso ao console de VM sem precisar de credenciais do SO da VM: AWS SSM Session Manager, Azure Serial Console, GCP IAP Tunneling. Esse acesso bypassa controles de rede tradicionais (firewall, VPN, bastion host). A detecção monitora eventos de auditoria de cloud para sessões de console direto: `ssm:StartSession` no AWS CloudTrail, `Microsoft.Compute/virtualMachines/runCommand/action` no Azure Activity Log, e `compute.instances.getSerialPortOutput` ou conexões via IAP no GCP. Acesso via esses métodos fora de janelas de manutenção aprovadas por identidades não-whitelisted é de alta prioridade. O analytics AN0594 correlaciona: evento de acesso ao console → identidade da chamada (user, role, service account) → horário → IP de origem → comandos executados (quando disponíveis em auditoria). A ausência de ticket de change management para o período eleva a severidade. Uso de `aws ec2 get-console-output` também pode revelar atividade maliciosa prévia. ## Indicadores de Detecção - `ssm:StartSession` no CloudTrail por usuário ou role não-listado como administrador autorizado - `Microsoft.Compute/virtualMachines/runCommand` em Azure Activity Log fora de janela de manutenção - Acesso via GCP IAP Tunnel (`iap.tunnelInstances.accessViaIAP`) por service account inesperada - `AzureSerialConsole` habilitado e acessado em VM de produção sem ticket de change - `aws ssm send-command` executando comandos arbitrários em instância de produção - Múltiplas VMs acessadas via console direto pela mesma identidade em curto intervalo - Acesso via console de VM logo após evento de comprometimento de credencial de cloud IAM ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an0594-analytic-0594|AN0594 — Analytic 0594]] --- *Fonte: [MITRE ATT&CK — DET0211](https://attack.mitre.org/detectionstrategies/DET0211)*