# AN0567 — Analytic 0567 ## Descrição Este analítico detecta tráfego originado de hosts ESXi ou interfaces de gerenciamento que apresenta divergência entre o SNI TLS e o cabeçalho HTTP Host, comportamento particularmente anômalo dada a natureza determinística e restrita das comúnicações de infraestrutura de virtualização. A telemetria é coletada de logs de rede do vSphere, registros de acesso do hostd e monitoramento de tráfego TLS na camada de gerenciamento ESXi. Essa detecção é crítica pois hosts ESXi raramente iniciam tráfego web arbitrário, tornando qualquer comportamento de domain fronting altamente suspeito e indicativo de comprometimento do hipervisor. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0567](https://attack.mitre.org/detectionstrategies/DET0196#AN0567)*