# AN0669 — Analytic 0669 ## Descrição Detecta adulteração do framework Unified Logging da Apple ou modificação das configurações de encaminhamento de log do sistema, observando execução de comandos relacionados ao `logd` ou uso de `defaults write` para alterar preferências de logging. A telemetria inclui o próprio Unified Log do macOS (antes de ser desativado), FSEvents e logs de configuração do sistema que capturam alterações nos plists de configuração do logging em `/Library/Preferences/Logging/`. Essa analítica é importante pois o Unified Log é a principal fonte de telemetria forense no macOS; sua supressão permite que adversários ocultem atividades maliciosas de ferramentas EDR e investigações de resposta a incidentes. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0669](https://attack.mitre.org/detectionstrategies/DET0239#AN0669)*