# AN0269 — Analytic 0269 ## Descrição Esta analítica detecta a adição de novos usuários ou alterações de permissões de papéis (por exemplo, ReadOnly para Admin) via API do vSphere ou vSphere Client, especialmente a partir de IPs que não sejam jump boxes autorizados. A telemetria inclui logs de auditoria do vCenter, eventos de modificação de papel no ESXi e alertas de firewall para acessos à API de gerenciamento de IPs inesperados. A detecção é fundamental pois o comprometimento de credenciais administrativas de ESXi é pré-condição para ataques de ransomware em infraestrutura virtualizada, como observado em operações do grupo UNC2447. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0269](https://attack.mitre.org/detectionstrategies/DET0096#AN0269)*