# AN0008 — Analytic 0008 ## Descrição Detecta clientes macOS integrados ao AD via LDAP que utilizam scripts de provisionamento de contas via `dsconfigad`, `dscl` ou scripts LDAP, identificando quando tais ferramentas são executadas em um sistema associado ao domínio seguidas de tentativas de autenticação de uma conta previamente inexistente. A telemetria combina logs do Unified Logging System do macOS, eventos de autenticação do AD e dados do Endpoint Security Framework. Este analítico é importante em ambientes corporativos com macs integrados ao domínio, onde adversários podem criar contas ocultas aproveitando ferramentas nativas de gerenciamento de diretório. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0008](https://attack.mitre.org/detectionstrategies/DET0003#AN0008)*