# AN0233 — Analytic 0233 ## Descrição Detecta execução de comandos de orquestração de contêiner (ex.: `docker exec`, `kubectl exec`) ou interações via API com contêineres em execução de hosts não autorizados ou contextos de usuário não padrão, com execução de comando programático ou interativo dentro de contêineres fora de ferramentas CI/CD ou frameworks de automação esperados, frequentemente seguida de gravações de arquivo, escalada de privilégios ou descoberta lateral. A telemetria inclui audit logs da API do Kubernetes registrando operações `exec` com análise de usuário/serviceaccount de origem, logs do Docker daemon para execuções `docker exec` e rastreamento de processos no contêiner via Falco ou eBPF para identificar processos não esperados no ambiente de execução. Essa analítica detecta movimentação lateral e escalada em ambientes Kubernetes onde o acesso não autorizado ao runtime de contêiner pode ser utilizado para comprometer múltiplos workloads ou escapar para o host subjacente. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1609-container-administration-command|T1609 — Container Administration Command]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0233](https://attack.mitre.org/detectionstrategies/DET0083#AN0233)*