# AN1579 — Analytic 1579 ## Descrição Detecta atribuição de roles de alto privilégio a contas de usuário ou serviço via objetos Kubernetes RoleBinding ou ClusterRoleBinding, especialmente fora do contexto de automação CI/CD ou originados de IPs desconhecidos. A telemetria é coletada por meio da API de auditoria do Kubernetes, que registra todas as operações de controle de acesso baseado em função (RBAC) e permite correlacionar alterações de permissões com contexto de identidade e origem da requisição. Adversários exploram essa técnica para escalar privilégios dentro de clusters Kubernetes e obter controle persistente sobre workloads sensíveis. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1610-deploy-container|T1610 — Deploy Container]] --- *Fonte: [MITRE ATT&CK — AN1579](https://attack.mitre.org/detectionstrategies/DET0572#AN1579)*