# AN1043 — Analytic 1043 ## Descrição Este analítico detecta a execução de comandos `esxcli` para enumerar datastores, arquivos de configuração ou estruturas de diretório por usuários não autorizados ou remotos em hosts VMware ESXi. A telemetria utilizada inclui logs do shell ESXi, eventos de autenticação SSH e registros de auditoria de sessões administrativas. Esta detecção é crítica porque atacantes que comprometem hipervisores frequentemente usam `esxcli` para mapear VMs e configurações antes de realizar ransomware ou exfiltração de dados. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1043](https://attack.mitre.org/detectionstrategies/DET0370#AN1043)*