# AN0538 — Analytic 0538 ## Descrição Este analítico detecta enumeração de disco via `diskutil list` ou `system_profiler SPStorageDataType` executados fora do processo de login do usuário ou não associados a ferramentas de inventário de sistema no macOS. A telemetria inclui Unified Logs do macOS filtrando por execuções dessas ferramentas, eventos de processo do EndpointSecurity Framework com contexto de usuário e horário, e correlação com ausência de sessão de usuário interativa. Adversários comprometendo Macs de alvos de alto valor frequentemente mapeiam volumes para identificar Time Machine, drives externos e partições criptografadas antes de exfiltrar ou destruir dados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0538](https://attack.mitre.org/detectionstrategies/DET0188#AN0538)*