# AN1238 — Analytic 1238 ## Descrição Detecta criação de contas usando comandos esxcli no VMware ESXi, identificada pela sequência de execução do esxcli e modificação bem-sucedida no banco de dados de contas do hipervisor. A telemetria inclui logs de shell do ESXi e eventos de auditoria registrando operações de gerenciamento de contas via CLI. Essa análise é crítica em ambientes virtualizados, onde a criação de contas não autorizadas no hipervisor pode conceder acesso privilegiado a toda a infraestrutura virtual. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136.001-local-account|T1136.001 — Local Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1238](https://attack.mitre.org/detectionstrategies/DET0447#AN1238)*