# AN0082 — Analytic 0082 ## Descrição Detecta conexões de longa duração ou alto throughput originadas por aplicativos não assinados pela Apple ou processos não comumente associados a uploads de rede no macOS. A telemetria empregada inclui logs do Endpoint Security Framework, dados de socket aberto via lsof, e registros de tráfego de rede do Unified Logging. Este analítico é importante para identificar processos em segundo plano que utilizam sockets abertos para exfiltração de dados, contornando controles tradicionais focados em processos de primeiro plano. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] --- *Fonte: [MITRE ATT&CK — AN0082](https://attack.mitre.org/detectionstrategies/DET0028#AN0082)*