# AN0557 — Analytic 0557 ## Descrição Este analítico monitora arquivos de dados sensíveis no macOS, como armazenamento baseado em plist, arquivos de email ou arquivos Office, em busca de modificações inesperadas, detectando processos anômalos modificando dados armazenados fora dos ciclos de atualização esperados via FSEvents e Unified Logs. A telemetria inclui FSEvents para modificações em `~/Library/Mail/`, `~/Documents/` e bancos de dados de aplicativos, Unified Logs correlacionando o processo modificador com o arquivo alvo e alertas de TCC para acesso a arquivos protegidos por System Integrity Protection. Modificações inesperadas em dados armazenados no macOS são indicativas de ransomware, wipers ou espionagem visando destruir ou exfiltrar informações de usuários de alto valor. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0557](https://attack.mitre.org/detectionstrategies/DET0193#AN0557)*