# AN1341 — Analytic 1341 ## Descrição Detecta tentativas de autenticação repetidamente falhas em APIs de containers, control planes ou shells de login contra muitos nomes de usuário usando a mesma senha, indicando password spraying em ambientes containerizados. A telemetria inclui logs de auditoria da API do Kubernetes, logs de autenticação do Docker daemon, alertas de falha de autenticação do Kubernetes RBAC e correlação de eventos por IP de origem e padrão de credenciais. Esta detecção é relevante em clusters Kubernetes e ambientes Docker Enterprise onde comprometimento via password spraying pode conceder ao adversário acesso ao control plane, permitindo criação de containers privilegiados, escapes de container ou implantação de cargas de trabalho maliciosas em toda a infraestrutura de containers. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1552-007-container-api|T1552 — Unsecured Credentials]] - [[t1610-deploy-container|T1610 — Deploy Container]] --- *Fonte: [MITRE ATT&CK — AN1341](https://attack.mitre.org/detectionstrategies/DET0487#AN1341)*