det0247-detection-of-adversary-use-of-unused-or-unsupported-cloud-regions-iaas

# DET0247 — Detection of Adversary Use of Unused or Unsupported Cloud Regions (IaaS) ## Descrição Detecta o uso de regiões cloud não utilizadas ou não suportadas pela organização como técnica de evasão. Adversários provisionam recursos (instâncias EC2, GCE, Azure VMs) em regiões geográficas fora do escopo operacional da empresa para evitar alertas de CSPM, reduzir visibilidade de logs e explorar políticas de retenção inconsistentes entre regiões. Os indicadores chave incluem provisionamento de qualquer recurso IaaS (compute, storage, network) em regiões não listadas na política de cloud aprovada da organização, bem como criação de instâncias em regiões com baixa cobertura de logging (ex: regiões gov ou regiões emergentes sem CloudTrail ativo). Queries de inventário periódico em todas as regiões são essenciais. A telemetria necessária inclui CloudTrail/Activity Log cobrindo todas as regiões (não apenas as aprovadas), alertas de AWS Config, Azure Policy ou GCP Organization Policy para recursos fora de regiões permitidas, e correlação com identidade do usuário que criou os recursos. ## Indicadores de Detecção - `RunInstances`, `CreateVM` ou `insert` de instância em região não aprovada pela política de cloud - Ausência de CloudTrail trail ou equivalente na região onde recursos foram criados - Storage bucket ou blob container criado em região sem controles de retenção configurados - VPC ou Virtual Network provisionada em região sem peering com rede corporativa - API call de região inesperada por usuário ou role com histórico exclusivo em regiões aprovadas - Discrepância entre inventário de recursos e serviços habilitados por SCP/Organization Policy ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[T1535-unused-unsupported-cloud-regions|T1535 — Unused/Unsupported Cloud Regions]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0690-analytic-0690|AN0690 — Analytic 0690]] --- *Fonte: [MITRE ATT&CK — DET0247](https://attack.mitre.org/detectionstrategies/DET0247)*