# AN0448 — Analytic 0448 ## Descrição Detecta conexão de dispositivos KVM USB com suporte de hardware (como TinyPilot) que enumeram novas interfaces HID ou de comunicação serial com metadados identificáveis, anômalos em relação ao inventário de periféricos aprovados. A telemetria necessária inclui logs do Endpoint Security Framework e IOKit do macOS para eventos de conexão de dispositivos USB, monitoramento de enumeração de interfaces HID e comparação de identificadores de vendor/produto USB contra a lista de dispositivos aprovados corporativos. Essa detecção é relevante para ambientes macOS em estações de trabalho executivas onde dispositivos de acesso remoto por hardware podem ser conectados durante acessos físicos não autorizados a escritórios. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1056-001-input-capture-keylogging|T1056.001 — Keylogging]] --- *Fonte: [MITRE ATT&CK — AN0448](https://attack.mitre.org/detectionstrategies/DET0159#AN0448)*