# AN1423 — Analytic 1423 ## Descrição Detecta o acesso e recuperação de tokens de conta de serviço de contêineres seguidos de requisições não autorizadas à API do Kubernetes ou serviços internos utilizando esses tokens para movimentação lateral e escalação de privilégios no cluster. A telemetria baseia-se em logs de auditoria do Kubernetes API Server que registram chamadas autenticadas com tokens de service account, correlacionados com eventos de acesso ao arquivo /var/run/secrets/kubernetes.io/serviceaccount/token a partir de processos inesperados. Essa detecção é fundamental em ambientes Kubernetes, onde tokens de service account com permissões excessivas permitem que adversários comprometam um pod e assumam o controle de recursos em todo o namespace ou cluster. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-007-container-api|T1552.007 — Container API]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] --- *Fonte: [MITRE ATT&CK — AN1423](https://attack.mitre.org/detectionstrategies/DET0515#AN1423)*