# AN1119 — Analytic 1119 ## Descrição Este analítico detecta transferências recorrentes baseadas em `cron` ou script onde o mesmo script, usuário ou destino reaparece em intervalos previsíveis. Utiliza telemetria de `auditd`, netflow e monitoramento de jobs de `cron` para identificar padrões de transferência regular com destinos externos fixos. A detecção é importante porque exfiltração via `cron` em Linux frequentemente aparece como tráfego de rede benigno quando analisado isoladamente, mas o padrão temporal repetitivo e a consistência de destino são indicadores fortes de exfiltração automatizada maliciosa. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1119](https://attack.mitre.org/detectionstrategies/DET0399#AN1119)*