# AN0574 — Analytic 0574 ## Descrição Este analítico detecta enumeração de máquinas virtuais usando PowerShell (`Get-VM`), VMware Workstation (`vmrun.exe`) ou Hyper-V (`VBoxManage.exe`) por usuários inesperados ou fora de sessões administrativas normais. A telemetria inclui logs de criação de processos do Windows (Event ID 4688 ou Sysmon Event ID 1), logs do PowerShell com registro de blocos de script e eventos de auditoria de sessão correlacionados com o contexto do usuário e horário de execução. Essa detecção é relevante pois workstations com clientes de virtualização instalados são frequentemente exploradas como ponto de entrada para ataques contra infraestruturas de virtualização empresariais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0574](https://attack.mitre.org/detectionstrategies/DET0199#AN0574)*