# AN0561 — Analytic 0561 ## Descrição Este analítico detecta execução de `ifconfig`, `networksetup` ou `system_profiler` para consultar configuração de IP/MAC/interface e status no macOS. A telemetria inclui Unified Logs do macOS filtrando por execuções dessas ferramentas, eventos de processo do EndpointSecurity Framework com contexto de usuário e temporalidade, e correlação com outras atividades de reconhecimento como enumeração de usuários ou sistemas. No macOS, o uso de `networksetup` e `system_profiler` por processos de background ou em horários atípicos é um indicador mais relevante que uso interativo, pois sugere automação de reconhecimento por malware ou implantes de acesso remoto. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0561](https://attack.mitre.org/detectionstrategies/DET0195#AN0561)*