# AN0434 — Analytic 0434 ## Descrição Detecta usuários ou localizações incomuns emitindo comandos CLI como `show clock detail` ou `show timezone`, opcionalmente seguidos de configuração de tempo/fuso horário ou fontes NTP, correlacionando a execução a identidade, IP de origem e nível de privilégio via contabilização AAA/TACACS+ e syslog. A telemetria necessária inclui logs de contabilização TACACS+ ou RADIUS para rastrear todos os comandos CLI executados em dispositivos de rede, syslog centralizado e alertas de desvio de baseline para comandos de descoberta executados por identidades não autorizadas. Essa detecção em dispositivos de rede é importante porque adversários que comprometem roteadores frequentemente exploram diferenças de fuso horário entre sistemas para sincronizar operações e evitar janelas de monitoramento ativo. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0434](https://attack.mitre.org/detectionstrategies/DET0151#AN0434)*