# AN1373 — Analytic 1373 ## Descrição Detecta adversários manipulando plugins de segurança de runtime de container, desabilitando admission controllers do Kubernetes ou parando sidecars de monitoramento como Falco ou Sysdig para reduzir a observabilidade do ambiente. Utiliza logs de auditoria do Kubernetes API Server, eventos de alteração de configuração de admission webhooks e monitoramento do estado de sidecars de segurança para identificar degradação deliberada de controles de detecção. Essencial em ambientes Kubernetes de produção onde a remoção de controles de segurança de runtime pode permitir execução de cargas maliciosas sem alertas de política ou detecção comportamental. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1373](https://attack.mitre.org/detectionstrategies/DET0497#AN1373)*