# AN0523 — Analytic 0523 ## Descrição Este analítico monitora adulteração de logs de auditoria, volumes montados ou armazenamento usado para logging lateral (como `/var/log` dentro de containers) pós-comprometimento. A telemetria inclui logs do runtime de container (Docker daemon, containerd), eventos de auditoria do Kubernetes (audit.log), monitoramento de montagem de volumes e alertas de integridade de arquivos em caminhos de log dentro de containers. Em ambientes containerizados, adversários podem visar os logs do container para dificultar a forense, especialmente em workloads de curta duração onde os logs do container são a principal fonte de evidência. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0523](https://attack.mitre.org/detectionstrategies/DET0184#AN0523)*