# AN1617 — Analytic 1617 ## Descrição Esta analítica detecta enumeração de contas em ambientes ESXi por meio de `esxcli`, `vim-cmd` ou chamadas de API ao vSphere, técnicas utilizadas por adversários para mapear contas de administrador e serviço antes de realizar ataques de escalada de privilégios no hipervisor. A telemetria inclui logs de acesso hostd (`/var/log/hostd.log`), registros de autenticação vSphere e chamadas de API ao endpoint de gerenciamento monitoradas via ESXi Shell. Esta detecção é especialmente relevante porque a enumeração de contas em hipervisores ESXi precede ataques que visam comprometer máquinas virtuais em massa ou exfiltrar dados de VMs críticas. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1617](https://attack.mitre.org/detectionstrategies/DET0587#AN1617)*