# AN0433 — Analytic 0433 ## Descrição Detecta invocações interativas ou remotas de shell/API como `esxcli system clock get` ou consultas de parâmetros de tempo via hostd/vpxa, seguidas de verificações de configuração de tempo/NTP ou criação de tarefas agendadas, executadas por contas não padrão ou fora de janelas de manutenção. A telemetria necessária inclui logs do shell ESXi e do hostd, logs de auditoria do vCenter para operações de clock e monitoramento de comandos NTP emitidos por identidades não esperadas. Essa detecção é relevante porque adversários em ESXi podem usar reconhecimento de tempo para sincronizar ataques destrutivos ou exfiltração com períodos de menor monitoramento, como fins de semana ou feriados. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0433](https://attack.mitre.org/detectionstrategies/DET0151#AN0433)*