# AN0457 — Analytic 0457 ## Descrição Detecta cadeia de reconhecimento de política de senha macOS: execução de `pwpolicy` ou leituras de MDM/DirectoryService de políticas de conta, leitura opcional de `/Library/Preferences/com.apple.loginwindow` ou perfis de configuração, seguida de sondagem de credenciais ou movimentação lateral pelo mesmo usuário/sessão. A telemetria necessária inclui logs unificados do macOS para rastrear execução de `pwpolicy` e acesso a preferências do sistema, telemetria de processo do Endpoint Security Framework e correlação de tempo entre descoberta de política e tentativas de autenticação subsequentes. Essa detecção apoia a identificação de atacantes em macOS que usam reconhecimento de política de senha como etapa de preparação para ataques de força bruta ou spray de senhas em serviços de diretório corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] - [[t1087-account-discovery|T1087 — Account Discovery]] --- *Fonte: [MITRE ATT&CK — AN0457](https://attack.mitre.org/detectionstrategies/DET0161#AN0457)*