# AN0582 — Analytic 0582 ## Descrição Este analítico detecta abuso de plataformas de orquestração de contêineres (como Kubernetes) onde adversários criam CronJobs para manter persistência ou executar Jobs maliciosos em todo o cluster. A telemetria inclui logs de auditoria do Kubernetes API Server com foco em operações de criação de CronJob e Job por usuários ou service accounts incomuns, alertas de RBAC para permissões excessivas e monitoramento de mudanças em namespaces privilegiados. Essa detecção é essencial pois CronJobs maliciosos podem garantir persistência de longa duração em clusters Kubernetes, reexecutando cargas maliciosas mesmo após incidentes de resposta parciais que não removem o objeto de agendamento. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0582](https://attack.mitre.org/detectionstrategies/DET0206#AN0582)*