# AN1352 — Analytic 1352 ## Descrição Detecta tentativas de adversários de enumerar containers, pods, nós e recursos relacionados em ambientes containerizados. Observadores podem identificar chamadas de API anômalas ao Docker ou Kubernetes (como `docker ps`, `kubectl get pods`, `kubectl get nodes`), atividade incomum de conta no dashboard do Kubernetes ou consultas inesperadas a endpoints de metadados de containers. Esses eventos devem ser correlacionados com contexto de usuário e atividade de rede para revelar tentativas de descoberta de recursos. A telemetria inclui logs de auditoria da API do Kubernetes, eventos de acesso ao dashboard e alertas de RBAC sobre consultas de listagem de recursos. Esta detecção identifica a fase de reconhecimento de adversários em ambientes Kubernetes, onde a enumeração de recursos revela superfície de ataque disponível para movimentação lateral, escape de container ou comprometimento do control plane. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1611-escape-to-host|T1611 — Escape to Host]] --- *Fonte: [MITRE ATT&CK — AN1352](https://attack.mitre.org/detectionstrategies/DET0490#AN1352)*