det0251-behavioral-detection-of-cloud-group-enumeration-via-api-and-cli-access

# DET0251 — Behavioral Detection of Cloud Group Enumeration via API and CLI Access ## Descrição Detecta enumeração de grupos cloud (IAM groups, Azure AD groups, Google Workspace groups) por adversários buscando mapear permissões e identificar contas privilegiadas. Essa é uma atividade comum logo após comprometimento inicial de credenciais cloud, permitindo ao atacante identificar grupos com acesso administrativo para escalonamento de privilégios. Os indicadores incluem sequências rápidas de chamadas API como `iam:ListGroups`, `iam:ListGroupsForUser`, `az ad group list`, ou `gcloud iam groups list` por identidades com histórico de uso normal, especialmente fora do horário comercial ou de localização geográfica incomum. O volume e velocidade das chamadas são os principais discriminadores. A telemetria necessária abrange CloudTrail (AWS), Azure Activity Log, GCP Cloud Audit Logs com foco em operações de leitura de IAM, correlação de identidade (usuário/role/service account) com histórico de comportamento e alertas de UEBA para desvio de baseline de chamadas API. ## Indicadores de Detecção - Mais de 10 chamadas `List*` ou `Get*` em IAM em menos de 5 minutos por uma identidade - `iam:ListGroups` + `iam:GetGroup` + `iam:ListGroupPolicies` executados em sequência - Uso de AWS CLI, Azure CLI ou gcloud para enumeração a partir de instância não gerenciada - Service account com função de viewer executando chamadas de enumeração de identidade - Chamadas de API de enumeração originadas de IP não associado a infraestrutura corporativa - Primeiro uso histórico de `ListGroupMemberships` ou `ListAttachedGroupPolicies` por identidade ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] ## Analytics Relacionadas - [[an0695-analytic-0695|AN0695 — Analytic 0695]] - [[an0696-analytic-0696|AN0696 — Analytic 0696]] - [[an0697-analytic-0697|AN0697 — Analytic 0697]] --- *Fonte: [MITRE ATT&CK — DET0251](https://attack.mitre.org/detectionstrategies/DET0251)*