# AN1261 — Analytic 1261 ## Descrição Detecta atividade de build de imagem de container diretamente no host usando APIs Docker ou Kubernetes, incluindo requisições de build anômalas com instruções Dockerfile que baixam código de IPs desconhecidos ou criação de novas imagens seguida de implantação imediata. A telemetria inclui logs de API do Docker daemon, eventos de auditoria do Kubernetes e correlação de comunicação de rede de saída durante operações de build. Essa análise é importante para detectar adversários que criam imagens de container maliciosas para implantação em clusters, contornando controles de registro de imagem. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1261](https://attack.mitre.org/detectionstrategies/DET0459#AN1261)*