# AN0539 — Analytic 0539 ## Descrição Este analítico detecta uso de `esxcli storage` ou `vim-cmd vmsvc/getallvms` por sessões incomuns ou através de shells interativos não relacionados a tarefas de manutenção administrativa em ambientes ESXi. A telemetria inclui logs do ESXi Shell (shell.log), logs de acesso SSH ao host, logs de auditoria do vCenter e correlação com horários e sessões de usuário fora dos padrões administrativos estabelecidos. Em ataques a infraestruturas de virtualização, o mapeamento de datastores e VMs é uma etapa de reconhecimento essencial antes de operações de ransomware ou sabotagem em hipervisores ESXi. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0539](https://attack.mitre.org/detectionstrategies/DET0188#AN0539)*