# AN0731 — Analytic 0731 ## Descrição Esta analítica analisa syslogs do ESXi para detectar agentes de gerenciamento ou VMs realizando conexões de saída para portas dinâmicamente calculadas a partir de respostas DNS, cruzando com baselines de tráfego das VMs. A telemetria inclui logs syslog do ESXi, dados de fluxo de rede do vSphere e eventos de rede coletados pelo vCenter ou NSX. A detecção é crítica em ambientes VMware porque comprometimento de hipervisores via C2 com resolução dinâmica pode passar despercebido sem análise de desvios de baseline de tráfego. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] --- *Fonte: [MITRE ATT&CK — AN0731](https://attack.mitre.org/detectionstrategies/DET0262#AN0731)*