# AN0509 — Analytic 0509 ## Descrição Este analítico detecta verificações de membros de grupos no macOS via ferramentas como `dscl`, `dscacheutil` ou `id`, tipicamente executadas via terminal ou scripts de automação. A telemetria inclui Unified Logs do macOS, eventos de execução de processos via auditd ou EndpointSecurity Framework, e monitoramento de chamadas a DirectoryService APIs. Detectar consultas de grupos via ferramentas de diretório do macOS é relevante especialmente em ambientes onde macOS está integrado a Active Directory, pois permite identificar adversários mapeando a estrutura de privilégios antes de se mover lateralmente. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0509](https://attack.mitre.org/detectionstrategies/DET0179#AN0509)*