# AN1080 — Analytic 1080 ## Descrição Este analítico monitora a criação de contas dentro de containers com nomes que imitam identidades legítimas de orquestrador ou backup, visando mascarar persistência adversarial. Utiliza telemetria de runtime de container (Falco, Sysdig) e auditoria de criação de usuários no sistema operacional do container para identificar contas novas com nomes suspeitos. A detecção é relevante porque adversários que comprometem containers frequentemente criam contas de manutenção mascaradas para garantir acesso persistente mesmo após remoção de backdoors mais óbvios. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1080](https://attack.mitre.org/detectionstrategies/DET0383#AN1080)*