# AN1578 — Analytic 1578 ## Descrição Detecta criação de novos processos de sistema de container via `docker run --restart`, execução de `kubectl exec` em containers de inicialização, ou modificação de específicações de init de containers. Sinaliza imagens de container que sobrescrevem entrypoints para embutir comportamentos de persistência. A telemetria inclui logs da API do Kubernetes, eventos do daemon Docker e registros de auditoria do container runtime, que revelam alterações não autorizadas na configuração de inicialização de workloads. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1578](https://attack.mitre.org/detectionstrategies/DET0571#AN1578)*