# AN1074 — Analytic 1074 ## Descrição Este analítico detecta adversários acessando arquivos de datastore ou configuração via `vim-cmd`, `esxcli` ou SCP para extrair logs, VMs ou configurações de host em ambientes VMware ESXi. Utiliza telemetria de logs do ESXi Shell, eventos de autenticação e monitoramento de transferências de arquivo via SCP para identificar acesso incomum a arquivos de alto valor. A detecção é importante porque a extração de discos de VM e configurações de host ESXi permite ao adversário comprometer dados de múltiplas máquinas virtuais e obter credenciais para movimentação lateral. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1074](https://attack.mitre.org/detectionstrategies/DET0380#AN1074)*