# AN0519 — Analytic 0519 ## Descrição Este analítico detecta transferência lateral em ambientes ESXi via uploads de arquivos ao datastore ou sessões SCP/SSH internas que resultam em novos arquivos VMX/VMDK ou de script, correlacionando a transferência com modificações ao datastore ou execução de VM. A telemetria inclui logs do VMware ESXi (hostd.log, vpxa.log), logs de acesso SSH ao host, eventos de datastore via API vSphere/vCenter e monitoramento de integridade de arquivos no datastore. Essa detecção é crítica para ambientes de virtualização onde adversários podem implantar VMs maliciosas ou modificar configurações de VMs existentes para persistência. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] --- *Fonte: [MITRE ATT&CK — AN0519](https://attack.mitre.org/detectionstrategies/DET0183#AN0519)*