# AN0522 — Analytic 0522 ## Descrição Este analítico detecta limpeza de Unified Logs do macOS, deleção de arquivos plist vinculados a persistência e manipulação do histórico do Terminal após execução inicial de código malicioso. A telemetria inclui FSEvents para monitorar alterações em `/Library/Preferences/`, `~/Library/Application Support/` e `~/.zsh_history`, Unified Logs filtrando operações de deleção de log, e eventos de processo do EndpointSecurity Framework. No macOS, a manipulação de plist de persistência combinada com limpeza de logs é indicativa de adversários tentando remover mecanismos de persistência após detecção ou antes de estabelecer mecanismos mais furtivos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0522](https://attack.mitre.org/detectionstrategies/DET0184#AN0522)*