# AN0754 — Analytic 0754 ## Descrição Esta analítica detecta logins via API vSphere (vimService) ou SSH ao host ESXi seguidos de comandos shell não autorizados ou logins remotos laterais originados do host ESXi. A telemetria inclui logs de autenticação do ESXi (/var/log/auth.log), logs do hostd e vpxa e eventos de shell do VMware via vCenter. A detecção é crítica porque o comprometimento de um hipervisor ESXi representa o pior cenário em ambientes virtualizados, potencialmente afetando todas as VMs hospedadas. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0754](https://attack.mitre.org/detectionstrategies/DET0269#AN0754)*