# AN0592 — Analytic 0592 ## Descrição Este analítico detecta logons de domínio usando contas de rede ou contas móveis via plugins do Open Directory ou Active Directory no macOS, especialmente fora do horário comercial ou em endpoints atípicos. A telemetria inclui logs de autenticação do macOS (`/var/log/system.log`, Unified Logging), eventos de Open Directory e registros de autenticação do plugin Active Directory correlacionados com alertas de comportamento anômalo de conta. Essa detecção é importante pois Macs corporativos integrados ao Active Directory são frequentemente negligenciados em monitoramento de segurança, criando pontos cegos que adversários exploram para manter acesso persistente com credenciais de domínio comprometidas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0592](https://attack.mitre.org/detectionstrategies/DET0210#AN0592)*