# AN0762 — Analytic 0762 ## Descrição Esta analítica detecta daemons de gerenciamento VMware ou processos convidados iniciando conexões cifradas fora dos servidores vCenter, servidores de atualização ou comúnicações internas esperadas, com o defensor identificando hostd ou vpxa iniciando fluxos TLS de saída para destinos incomuns. A telemetria inclui syslogs do ESXi, logs de rede do vSphere e dados de fluxo VPC/NSX para tráfego originado de hosts ESXi. A detecção é crítica porque implantes em hipervisores ESXi, como os usados em ataques de estado-nação, frequentemente estabelecem canais TLS para evitar inspeção de tráfego das VMs hospedadas. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] --- *Fonte: [MITRE ATT&CK — AN0762](https://attack.mitre.org/detectionstrategies/DET0273#AN0762)*