# AN1492 — Analytic 1492 ## Descrição Detecta instanciação efêmera ou não autorizada de contêineres usando imagens públicas (como do DockerHub) que iniciam alto consumo de CPU logo após a inicialização, frequentemente agendados via Kubernetes ou abuso do socket Docker. A telemetria inclui logs do daemon Docker, eventos de auditoria da API do Kubernetes e monitoramento de métricas de desempenho de contêineres via ferramentas como Prometheus ou cAdvisor. Esta analítica é crítica para ambientes de contêiner, onde imagens maliciosas de registros públicos podem ser implantadas por adversários que comprometeram o Docker socket ou o control plane do Kubernetes para executar mineradores sem interferir em workloads legítimas. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN1492](https://attack.mitre.org/detectionstrategies/DET0540#AN1492)*