# AN0593 — Analytic 0593 ## Descrição Este analítico detecta logons em hosts vSphere ou ESXi usando contas de domínio, especialmente aquelas associadas ao vpxuser ou membros de grupos inesperados com acesso privilegiado à infraestrutura de virtualização. A telemetria inclui logs de autenticação do vSphere/ESXi, eventos de auditoria do vCenter Server e alertas de SIEM correlacionando logons de contas de domínio em hosts ESXi com padrões de acesso incomuns ou horários fora de janelas de manutenção. Essa detecção é crítica pois o comprometimento de contas com acesso ao vSphere permite que adversários controlem toda a infraestrutura virtualizada, incluindo capacidade de desligar VMs de segurança, exfiltrar dados de datastores e implantar ransomware em escala. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0593](https://attack.mitre.org/detectionstrategies/DET0210#AN0593)*