# AN1547 — Analytic 1547 ## Descrição Este analítico detecta contas de serviço containerizadas comprometidas ou kubeconfigs mal utilizados para acesso ao cluster Kubernetes a partir de nós ou endereços IP inesperados, indicando uso indevido de credenciais de orquestração de contêineres. A telemetria provém do audit log do Kubernetes API Server que registra todas as chamadas de API com ServiceAccount, IP de origem, recurso acessado e verbo da operação, permitindo identificar acessos anômalos por conta de serviço. A detecção é relevante pois kubeconfigs comprometidos e contas de serviço com permissões excessivas são vetores comuns em ataques a clusters Kubernetes, podendo resultar em movimentação lateral para todo o ambiente de contêineres e nós subjacentes. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1610-deploy-container|T1610 — Deploy Container]] --- *Fonte: [MITRE ATT&CK — AN1547](https://attack.mitre.org/detectionstrategies/DET0560#AN1547)*