T1675
دستور مدیریت ESXi
ESXi Administration Commandتوضیحات
مهاجمان از ابزارهای مدیریتی ESXi مانند vSphere API یا ESXCLI برای اجرای دستورات در hypervisor سوءاستفاده میکنند. با دسترسی به ESXi، مهاجمان میتوانند ماشینهای مجازی را کنترل کرده، دادهها را سرقت کنند یا ransomware را مستقر کنند.
روشهای شناسایی
نظارت بر فعالیتهای مدیریتی ESXi. بررسی لاگهای vSphere. شناسایی دسترسیهای غیرعادی به APIهای مدیریتی. تحلیل دستورات ESXCLI اجرا شده.
روشهای مقابله
ایمنسازی دسترسی به ESXi و vCenter. پیادهسازی احراز هویت چندعاملی. محدود کردن دسترسی به شبکه مدیریت. بهروزرسانی منظم ESXi. نظارت بر فعالیتهای مدیریتی.