# AN0670 — Analytic 0670 ## Descrição Detecta adulteração da configuração de syslog no ESXi via comandos `esxcli system syslog config set` ou `reload`, correlacionando a execução desses comandos com a ausência subsequente de atividade de encaminhamento de syslog. A telemetria inclui logs do hostd, shell do ESXi e registros de configuração do vCenter que identificam alterações nos destinos de syslog configurados. Essa analítica é crítica em ambientes ESXi pois o encaminhamento de logs para um SIEM centralizado é o principal mecanismo de detecção; sua desabilitação permite operações furtivas no hipervisor sem geração de alertas nos sistemas de monitoramento. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0670](https://attack.mitre.org/detectionstrategies/DET0239#AN0670)*