# AN0319 — Analytic 0319 ## Descrição Esta analítica detecta o uso de `dscl` ou comandos `id`/`group` para enumerar grupos locais do sistema no macOS, frequentemente executados por ferramentas de pós-exploração ou verificações de persistência. A telemetria inclui eventos do Endpoint Security Framework para execução desses comandos e logs unificados do sistema para sessões de Terminal com padrões de enumeração de grupos. A detecção é relevante pois a enumeração de grupos locais no macOS precede exploração de privilégios de grupo como `admin`, `staff` ou `wheel`, sendo etapa comum em ataques de escalonamento de privilégios em endpoints corporativos macOS. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1069-001-local-groups|T1069.001 — Local Groups]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0319](https://attack.mitre.org/detectionstrategies/DET0114#AN0319)*