# AN1304 — Analytic 1304 ## Descrição Correlaciona a criação ou modificação de containers com políticas de reinicialização automática (como `always`) ou DaemonSets com acesso elevado ao host, abuso de service accounts ou contextos de container privilegiados. Monitora também a manipulação de unidades systemd envolvendo containers ou agendamento de pods em nós ou namespaces específicos. A telemetria inclui logs da API do Kubernetes, eventos de auditoria do cluster e alertas sobre criação de containers com flags `--privileged`. Esta detecção é essencial em ambientes containerizados pois adversários utilizam containers com reinicialização automática como mecanismo de persistência que sobrevive a reinicializações de nós e pode ser difícil de identificar como anômalo em meio a cargas de trabalho legítimas. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1304](https://attack.mitre.org/detectionstrategies/DET0473#AN1304)*