# AN0709 — Analytic 0709 ## Descrição Monitora acesso via shell ou API do ESXi aos logs do host em `/var/log/`, com enumeração anômala de `vmkernel.log`, `hostd.log` ou `vpxa.log` por contas não autorizadas. A telemetria inclui logs do hostd, auditoria do shell do ESXi e logs do vCenter que identificam acesso a arquivos de log críticos do hipervisor por contas fora da lista de administração de infraestrutura aprovada. Essa analítica é importante pois os logs do ESXi contêm informações sobre toda a infraestrutura virtualizada; sua coleta por adversários indica reconhecimento pós-comprometimento do hipervisor visando mapear VMs, credenciais e padrões de backup para planejamento de ataques de ransomware ou espionagem. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0709](https://attack.mitre.org/detectionstrategies/DET0255#AN0709)*