# AN0409 — Analytic 0409 ## Descrição Detecta alterações no firewall ESXi via `esxcli network firewall set` ou modificações pela API vSphere, com ênfase na desabilitação repentina de regras de firewall em interfaces de gerenciamento como sinal de evasão adversarial. A telemetria necessária inclui logs do hostd/vpxa do ESXi, logs de auditoria do vCenter e eventos de configuração de rede da API vSphere para rastrear mudanças de política de firewall. Essa detecção é crítica em ambientes virtualizados, pois adversários que comprometem hipervisors ESXi frequentemente removem controles de firewall para facilitar exfiltração de dados de VMs ou movimentação dentro do ambiente de virtualização. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0409](https://attack.mitre.org/detectionstrategies/DET0145#AN0409)*