# AN0177 — Analytic 0177 ## Descrição Detecta uso abusivo de comandos de administração de contêineres observando uso anômalo de utilitários de gerenciamento (`docker exec`, `kubectl exec` ou chamadas à API do kubelet) correlacionado com criação inesperada de processos dentro de contêineres, incluindo requisições de API não autorizadas seguidas de execução de comandos em pods ou contêineres em execução originárias de contas de usuário incomuns, scripts de automação ou endereços IP fora do plano de gerenciamento esperado do cluster. A telemetria relevante inclui logs da API do Kubernetes (audit logs), logs do Docker daemon, alertas do Falco sobre execuções anômalas em contêiner e NetFlow para identificar origens inesperadas de conexões ao kubelet. Essa analítica é essencial em ambientes cloud-native porque o acesso ao runtime de contêineres frequentemente representa comprometimento crítico de infraestrutura, permitindo movimentação lateral entre workloads e acesso ao plano de dados do cluster. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1609-container-administration-command|T1609 — Container Administration Command]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0177](https://attack.mitre.org/detectionstrategies/DET0065#AN0177)*