# AN0337 — Analytic 0337 ## Descrição Detecta invocação do comando `esxcli system account remove` via vCLI, SSH ou vSphere API com acesso de usuário anômalo ou fora de janelas de manutenção programadas. A telemetria inclui logs do hostd, eventos de auditoria da API vSphere e registros de sessão SSH no host ESXi. Essa analítica é crítica em ambientes VMware porque a remoção de contas administrativas em ESXi pode ser parte de operações de ransomware ou sabotagem que visam eliminar a capacidade de recuperação da infraestrutura de virtualização. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0337](https://attack.mitre.org/detectionstrategies/DET0120#AN0337)*