# AN0707 — Analytic 0707 ## Descrição Detecta acesso anômalo a logs unificados via `log show` ou `fs_usage` visando arquivos de log do sistema, monitorando execução de utilitários shell (`cat`, `grep`) contra `/var/log/system.log` e modificações de plist que habilitam logging verboso no macOS. A telemetria inclui o Unified Log do macOS, FSEvents e registros de execução de processo que identificam processos consultando o repositório de logs do sistema fora de contextos de diagnóstico ou administração esperados. Essa analítica é relevante para detectar adversários que coletam logs do macOS para mapear a superfície de monitoramento disponível, identificar ferramentas EDR instaladas e planejar técnicas de evasão antes de executar ações de objetivos finais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1518-software-discovery|T1518 — Software Discovery]] --- *Fonte: [MITRE ATT&CK — AN0707](https://attack.mitre.org/detectionstrategies/DET0255#AN0707)*