# AN0614 — Analytic 0614 ## Descrição Este analítico detecta tentativas de escape de contêiner Windows observando processos acessando diretórios do host, abuso de links simbólicos ou tentativas de escalada de privilégios, com detecção de execução anômala de processos com acesso a diretórios de nível de sistema fora dos limites de isolamento do contêiner. A telemetria inclui eventos de criação de processos do Windows (Sysmon Event ID 1) com contexto de execução de contêiner, logs de auditoria de acesso a arquivos (Event ID 4663) para diretórios do sistema a partir de processos de contêiner e alertas de Sysmon para criação de links simbólicos suspeitos. Essa detecção é relevante em ambientes Windows Server com Windows Containers pois o isolamento de contêineres Windows é distinto de contêineres Linux, e vulnerabilidades no mecanismo de isolamento podem permitir que processos containerizados acessem o sistema operacional host subjacente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0614](https://attack.mitre.org/detectionstrategies/DET0219#AN0614)*