# AN0889 — Analytic 0889 ## Descrição Este analytic detecta a modificação de perfis de segurança do runtime de contêineres (AppArmor, seccomp) ou a remoção de agentes de monitoramento dentro de contêineres, assim como montagens não autorizadas de `/proc` ou `/sys` do host com objetivo de desabilitar logging ou auditoria. A telemetria relevante inclui eventos de chamadas ao container runtime (Docker, containerd), logs de orquestração (Kubernetes audit logs) e registros de alterações de perfil de segurança. Em ambientes de contêiner, a supressão de controles de segurança é frequentemente o primeiro passo de um escape de contêiner ou de uma campanha de criptomineração furtiva. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] --- *Fonte: [MITRE ATT&CK — AN0889](https://attack.mitre.org/detectionstrategies/DET0317#AN0889)*