# AN1317 — Analytic 1317 ## Descrição Detecta a cadeia causa-efeito de execução em ambientes de CI/desktops de desenvolvimento: (1) usuário aciona execução ou pull de container após abrir um documento/link/script; (2) imagem ou container recém-criado utiliza registro externo inesperado ou entrypoint anômalo; (3) container inicia e imediatamente estabelece conexões com destinos suspeitos. A telemetria inclui logs de eventos do Docker (`docker events`), logs de auditoria do Kubernetes, análise de registros de origem de imagens e monitoramento de tráfego de saída de containers recém-criados. Esta detecção é relevante para ambientes de desenvolvimento onde adversários comprometem pipelines CI/CD ou distribuem imagens maliciosas para obter execução de código em sistemas de desenvolvedores e infraestrutura de build. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1317](https://attack.mitre.org/detectionstrategies/DET0478#AN1317)*