# AN0646 — Analytic 0646 ## Descrição Detecta uso anômalo das APIs de Operações de Guest do ESXi — como `StartProgramInGuest`, `ListProcessesInGuest`, `ListFileInGuest` e `InitiateFileTransferFromGuest` — com foco em frequência incomum de chamadas, invocação por contas de gerenciamento inesperadas ou execução fora do horário comercial. A telemetria primária é fornecida pelos logs do vCenter Server (vpxd.log) e registros de auditoria do hostd que capturam chamadas à API VMware. Essa analítica é importante porque o abuso dessas APIs de gerenciamento permite que adversários executem comandos em VMs guest sem interação direta, contornando controles de segurança tradicionais do endpoint. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN0646](https://attack.mitre.org/detectionstrategies/DET0232#AN0646)*