# AN0986 — Analytic 0986 ## Descrição Este analítico detecta containers ou pods maliciosos que utilizam nomes, labels ou namespaces que imitam workloads legítimos em ambientes Kubernetes/Docker, além de verificar discrepâncias nas camadas de imagem e implantações de recursos não autorizados. A telemetria utilizada inclui logs da API do Kubernetes (kube-apiserver audit logs), registros de admissão de pods e eventos do container runtime (containerd, CRI-O), correlacionando a identidade da imagem com registros autorizados e verificando assinaturas via Cosign ou Notary. A detecção é importante para ambientes cloud-native, onde atacantes implantam containers parasitas que mineram criptomoedas, realizam movimento lateral ou estabelecem backdoors disfarçados de microserviços legítimos da aplicação. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1611-escape-to-host|T1611 — Escape to Host]] --- *Fonte: [MITRE ATT&CK — AN0986](https://attack.mitre.org/detectionstrategies/DET0347#AN0986)*