# AN0859 — Analytic 0859 ## Descrição Esta analítica detecta processos de container acessando caminhos de segredos montados ou configurações (como `/run/secrets`, `/mnt/config`) seguidos de acesso à rede ou uso de credenciais. A telemetria utilizada inclui logs de runtime de container (falco, sysdig) e logs de orquestradores como Kubernetes para monitorar acesso a volumes de segredos montados por workloads, correlacionados com conexões de rede externas. Esta detecção é crítica em ambientes Kubernetes onde segredos mal configurados ou montados desnecessáriamente em containers podem ser explorados por adversários que comprometeram uma workload para coletar credenciais de serviços internos. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1552-001-credentials-in-files|T1552.001 — Credentials In Files]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0859](https://attack.mitre.org/detectionstrategies/DET0307#AN0859)*