det0291-detection-of-cloud-service-dashboard-usage-via-gui-based-cloud-access

# DET0291 — Detection of Cloud Service Dashboard Usage via GUI-Based Cloud Access ## Descrição Esta estratégia detecta acesso não autorizado a consoles gráficos de serviços cloud (AWS Console, Azure Portal, GCP Console) por adversários que utilizam credenciais comprometidas para navegar e operar a infraestrutura cloud via interface web em vez de API programática. O acesso via GUI é frequentemente menos monitorado do que chamadas de API e pode indicar um adversário humano realizando reconhecimento ou operações manuais. Os indicadores incluem logins no console web de regiões geográficas incomuns, user-agents de browser não corporativo, logins fora do horário comercial normal do usuário, e padrões de navegação que diferem do comportamento habitual (ex: acesso a serviços que o usuário normalmente não opera). Logs de autenticação com tipo `ConsoleLogin` no CloudTrail (AWS) ou equivalentes no Azure e GCP são as fontes primárias. A correlação com dados de geolocalização de IP, Device Trust (se houver MFA/Conditional Access) e baseline comportamental do usuário é essencial para reduzir falsos positivos. Grupos como [[g1015-scattered-spider|Scattered Spider]] são conhecidos por acessar portais cloud via GUI após comprometer credenciais de help desk ou MFA fatigue attacks. ## Indicadores de Detecção - `ConsoleLogin` no CloudTrail de IP em país diferente do padrão do usuário - Login no console web seguido de acesso a EC2, S3 ou IAM em sequência incomum - User-agent de browser não-gerenciado (sem fingerprint corporativo) acessando console cloud - Múltiplas falhas de MFA seguidas de sucesso de login (MFA fatigue) - Acesso ao console de serviços que o usuário nunca acessou historicamente - Login bem-sucedido no console de IP classificado como VPN comercial, proxy ou Tor exit node ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] ## Analytics Relacionadas - [[an0808-analytic-0808|AN0808 — Analytic 0808]] - [[an0809-analytic-0809|AN0809 — Analytic 0809]] - [[an0810-analytic-0810|AN0810 — Analytic 0810]] - [[an0811-analytic-0811|AN0811 — Analytic 0811]] --- *Fonte: [MITRE ATT&CK — DET0291](https://attack.mitre.org/detectionstrategies/DET0291)*