# AN0530 — Analytic 0530 ## Descrição Este analítico detecta tokens de conta de serviço comprometidos montados dentro de containers e reutilizados para chamadas de API externas ou movimento lateral entre serviços. A telemetria inclui logs de auditoria do Kubernetes, eventos de montagem de secrets/volumes em pods, logs de API server do Kubernetes para uso de service account tokens, e alertas de runtime para chamadas de API externas originadas de dentro de containers. Em ambientes Kubernetes, service account tokens com permissões excessivas são alvos frequentes de ataques de escalação de privilégio dentro do cluster. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0530](https://attack.mitre.org/detectionstrategies/DET0185#AN0530)*