det0319-detection-strategy-for-t1136003-cloud-account-creation-across-iaas-idp-s

# DET0319 — Detection Strategy for T1136.003 - Cloud Account Creation across IaaS, IdP, SaaS, Office ## Descrição Esta estratégia detecta a criação não autorizada de contas em ambientes de nuvem — IaaS (AWS, Azure, GCP), provedores de identidade (Okta, Azure AD/Entra ID), SaaS e Microsoft 365. A técnica [[T1136.003-create-cloud-account]] é utilizada por adversários para estabelecer persistência e acesso privilegiado em ambientes cloud sem depender de contas comprometidas existentes. A detecção exige correlação de logs de auditoria cloud (CloudTrail, Azure Activity Log, Google Cloud Audit Logs) com contexto de identidade — quem criou a conta, de qual IP, em qual horário, e se o papel (role/permission) atribuído é incomum. Contas criadas com permissões administrativas por usuários sem histórico de IAM são sinais críticos. O vetor é especialmente relevante em cenários pós-comprometimento de credenciais de administrador cloud, comum em ataques a empresas brasileiras que usam AWS e Azure como infraestrutura principal. Integrar detecção com CSPM (Cloud Security Posture Management) melhora a cobertura. ## Indicadores de Detecção - Criação de conta IAM/Entra ID por usuários sem histórico de provisionamento - Nova conta com permissão AdministratorAccess, Global Admin ou equivalente - Contas criadas fora do processo de onboarding (horário atípico, sem ticket correlato) - Múltiplas contas criadas em curto intervalo pelo mesmo principal - Service accounts ou machine accounts criados com credenciais de longa duração - Criação de conta seguida imediatamente de login bem-sucedido de IP externo ## Técnicas Relacionadas - [[T1136.003-create-cloud-account]] — técnica primária - [[t1136-create-account|T1136-creaté-account]] — categoria pai - [[T1078.004-cloud-accounts]] — abuso de contas cloud existentes - [[t1098-account-manipulation|T1098-account-manipulation]] — modificação de contas após criação - [[t1562-impair-defenses|T1562-impair-defenses]] — desativação de MFA ou logging em nova conta ## Analytics Relacionadas - [[an0899-analytic-0899|AN0899 — Analytic 0899]] - [[an0900-analytic-0900|AN0900 — Analytic 0900]] - [[an0901-analytic-0901|AN0901 — Analytic 0901]] - [[an0902-analytic-0902|AN0902 — Analytic 0902]] --- *Fonte: [MITRE ATT&CK — DET0319](https://attack.mitre.org/detectionstrategies/DET0319)*