# AN0727 — Analytic 0727 ## Descrição Esta analítica detecta comportamento de staging local em ambientes ESXi, identificando criação de snapshots não autorizadas ou gravação de arquivos em partições VMFS por scripts ou acesso shell não autorizado. A telemetria inclui logs do hostd e vpxa do ESXi, eventos de shell do VMware e auditoria de acesso ao datastore via vCenter. A detecção é crítica em ambientes de virtualização porque adversários frequentemente usam snapshots como mecanismo de coleta de dados sensíveis de múltiplas VMs antes de exfiltrar. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0727](https://attack.mitre.org/detectionstrategies/DET0261#AN0727)*