# AN0890 — Analytic 0890 ## Descrição Este analytic detecta comandos incomuns no shell ESXi que desabilitam o encaminhamento de syslog ou interrompem os daemons `hostd`/`vpxa`, bem como modificações em regras de firewall no host ESXi ou desabilitação do modo lockdown. A telemetria consiste em logs de shell do ESXi (`shell.log`), eventos de configuração do `hostd` e logs de auditoria da infraestrutura vSphere. Em ambientes VMware, a desabilitação desses controles cria pontos cegos de visibilidade que adversários exploram para conduzir operações destrutivas contra máquinas virtuais sem alertar ferramentas de monitoramento tradicionais. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0890](https://attack.mitre.org/detectionstrategies/DET0317#AN0890)*