# AN0691 — Analytic 0691 ## Descrição Detecta quando um usuário baixa uma imagem não confiável de um registry público ou desconhecido e cria/inicia um container a partir dela que logo depois executa utilitários inesperados como `curl`, `wget`, `bash` ou `python`, ou estabelece conexões de rede atípicas para o namespace/workload. A telemetria inclui logs do runtime de container (containerd/Docker daemon), logs de auditoria do Kubernetes (API server audit) e telemetria de rede que correlacionam a cadeia: Image Download → Container Create → Container Start → Command Execution/Network activity dentro de uma janela de tempo curta. Essa analítica é crítica para detectar ataques de supply chain via imagens de container maliciosas, comprometimento de workloads Kubernetes e técnicas de escape de container usadas para comprometer o nó host. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0691](https://attack.mitre.org/detectionstrategies/DET0248#AN0691)*