# AN1158 — Analytic 1158 ## Descrição Detecta acesso a camadas de imagem de contêiner ou segredos montados (Docker secrets, Kubernetes secrets) por processos não vinculados ao entrypoint ou ao contexto de orquestração esperado. A telemetria inclui logs de runtime de contêiner (containerd, CRI-O), eventos de auditoria do Kubernetes e monitoramento de montagem de volumes para identificar acesso não autorizado a segredos sensíveis dentro de contêineres. Esse analítico é relevante porque segredos mal configurados em ambientes de contêiner são uma fonte comum de comprometimento de credenciais, especialmente em pipelines CI/CD e ambientes Kubernetes com controles RBAC insuficientes. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] --- *Fonte: [MITRE ATT&CK — AN1158](https://attack.mitre.org/detectionstrategies/DET0412#AN1158)*