# AN0906 — Analytic 0906 ## Descrição Este analytic detecta o uso via shell ou API de `esxcli network ip connection list` ou `netstat` para enumerar conexões do host ESXi. A telemetria inclui logs de shell do ESXi (`/var/log/shell.log`), logs de auditoria do vCenter e registros de sessões interativas no hypervisor. Em ambientes ESXi, a enumeração de conexões de rede pelo adversário permite identificar interfaces de gerenciamento, conexões de VMs em execução e potenciais alvos para comunicação C2 ou exfiltração de dados, sendo um passo crítico no planejamento de ataques a infraestruturas virtualizadas. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] --- *Fonte: [MITRE ATT&CK — AN0906](https://attack.mitre.org/detectionstrategies/DET0320#AN0906)*