# AN0222 — Analytic 0222 ## Descrição Detecta exploração de aplicação containerizada via ingress ou serviço, com cadeia: requisição suspeita em logs do ingress/app, processo do contêiner gerando shell/exec/sidecar (kubectl exec/docker exec), e saída de tráfego para Internet ou serviço de metadados (169.254.169.254). A telemetria inclui logs do ingress Kubernetes registrando padrões de requisição anômalos, logs de runtime do contêiner (ex.: containerd/CRI-O) para execuções inesperadas de processo e análise de NetFlow/eBPF para conexões de saída de pods para endereços externos ou o endpoint de metadados cloud. Essa analítica é crítica em ambientes Kubernetes onde a exploração de uma aplicação containerizada pode levar a escape de contêiner, acesso a credenciais de service account e comprometimento de toda a infraestrutura do cluster via a API do Kubernetes. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0222](https://attack.mitre.org/detectionstrategies/DET0080#AN0222)*