# AN0693 — Analytic 0693 ## Descrição Detecta criação e início de container por API ou remotamente cujá imagem não consta em allowlist (ou está tagada como `latest`), executado por principal não-admin e/ou iniciado com atributos de runtime arriscados como `--privileged`, namespaces de host PID/NET, montagens de path sensível do host ou adições de capability. A telemetria inclui logs do Docker daemon, API server do Kubernetes e logs de auditoria que correlacionam a cadeia creaté → start → primeiras ações de rede/processo dentro de uma janela curta de tempo. Essa analítica é fundamental pois containers com `--privileged` ou acesso ao namespace host podem trivialmente escapar para o nó host, comprometendo toda a infraestrutura de container gerenciada naquele nó. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0693](https://attack.mitre.org/detectionstrategies/DET0249#AN0693)*