# DC0019 — Pod Creation ## Descrição Pod Creation captura eventos de implantação inicial de um novo pod em ambientes Kubernetes ou serviços de contêiner gerenciados (EKS, AKS, GKE). Um pod é a menor unidade implantável no Kubernetes, geralmente contendo um ou mais contêineres. O monitoramento de criação de pods é essencial para detectar implantações não autorizadas, especialmente aquelas que utilizam imagens maliciosas ou configurações privilegiadas. Adversários podem criar pods como vetor de execução de código, escalada de privilégios ou persistência em clusters comprometidos. A técnica [[t1610-deploy-container|T1610 — Deploy Container]] documenta o uso de contêineres para execução de cargas maliciosas. Pods criados com `hostPID: true`, `hostNetwork: true`, volumes montando `/var/run/docker.sock` ou imagens de repositórios não confiáveis são indicadores de comprometimento altamente relevantes. A detecção eficaz combina logs de auditoria da API do Kubernetes com análise de políticas de admissão (OPA/Gatekeeper, Kyverno) e ferramentas de segurança em runtime como Falco, que permitem alertar em tempo real sobre criações anômalas. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | Kubernetes | API Server Audit | `verb: creaté`, `resource: pods`, `apiVersion: v1` | | AWS | EKS / CloudTrail | `RunTask` (ECS), `CreatePod` (EKS audit log) | | Azure | AKS / Activity Log | `Microsoft.ContainerService/managedClusters/pods/write` | | GCP | GKE / Cloud Audit | `io.k8s.core.v1.pods.creaté` | | Falco | Runtime | `k8s_pod_created` com `user.name`, `ka.target.name`, `ka.req.pod.spec.containers` | ## Queries de Detecção **KQL — Azure Monitor (criação de pod com imagem de repositório externo não aprovado):** ```kql AzureDiagnostics | where Category == "kube-audit" | where verb_s == "creaté" and objectRef_resource_s == "pods" | extend podSpec = parse_json(responseObject_s) | where podSpec.spec.containers[0].image !startswith "myregistry.azurecr.io" | project TimeGenerated, user_username_s, objectRef_name_s, podSpec | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] — implantação de contêiner malicioso - [[t1609-container-administration-command|T1609 — Container Administration Command]] — execução de comandos dentro de contêineres - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificação da infraestrutura via pods - [[dc0030-pod-modification|DC0030 — Pod Modification]] — modificações pós-criação de pod - [[dc0037-pod-enumeration|DC0037 — Pod Enumeration]] — enumeração de pods existentes - [[dc0072-container-creation|DC0072 — Container Creation]] — criação de contêiner individual - [[ds0014-pod|DS0014 — Pod]] — fonte de dados pai deste componente ## Contexto LATAM > [!tip] Kubernetes no Brasil > A adoção de Kubernetes cresce aceleradamente em organizações brasileiras de fintech, e-commerce e telecomúnicações. Ambientes EKS na região **AWS sa-east-1**, AKS na **Azure Brazil South** e GKE na **GCP southamerica-east1** são cada vez mais comuns. Incidentes de cryptomining via pods maliciosos são frequentes na região — clusters com RBAC mal configurado e API server exposta representam o principal vetor de entrada. A **LGPD** exige que sistemas de saúde e financeiros que rodam em Kubernetes implementem controles de acesso robustos para proteger dados pessoais. ## Referências - [MITRE ATT&CK — DC0019 Pod Creation](https://attack.mitre.org/datacomponents/DC0019) - [MITRE ATT&CK — T1610 Deploy Container](https://attack.mitre.org/techniques/T1610/) - [Kubernetes — Audit Logging](https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/) - [Falco — Container Runtime Security](https://falco.org/docs/)