# AN0371 — Analytic 0371 ## Descrição Detecta tráfego de saída de interfaces hostd/vpxa ou VMs convidadas usando protocolos não autorizados como FTP, bursts de HTTP POST ou túneis DNS de longa duração originados do host ESXi. A telemetria inclui logs de fluxo NSX, análise de tráfego de rede do vSwitch e alertas de comportamento anômalo de protocolos nos planos de gerenciamento e dados do ESXi. Essa analítica é importante porque o tráfego de exfiltração a partir de um host ESXi comprometido pode incluir configurações de VM, snapshots e dados de memória de máquinas virtuais, representando impacto de altíssima gravidade para a organização. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0371](https://attack.mitre.org/detectionstrategies/DET0131#AN0371)*