# AN0849 — Analytic 0849 ## Descrição Esta analítica detecta a enumeração de contas locais de ESXi usando `esxcli` ou a API do vSphere a partir de sessões não autorizadas. A telemetria utilizada inclui logs de shell do ESXi e logs de auditoria do vCenter monitorando operações de listagem de usuários e grupos de sistema com contexto de autenticação incomum. Esta detecção é crítica em ambientes de virtualização, onde identificar contas locais do hypervisor permite que adversários comprometam o plano de gerenciamento e obtenham controle sobre todas as VMs hospedadas, um vetor documentado em ataques de ransomware direcionados a ambientes VMware. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0849](https://attack.mitre.org/detectionstrategies/DET0303#AN0849)*