# AN0721 — Analytic 0721 ## Descrição Detecta credenciais forjadas no macOS visíveis por meio de Unified Logs mostrando acesso anômalo ao Keychain ou arquivos de sessão de browser, correlacionado com uso incomum de sessão web do Safari ou Chrome por processos fora do contexto típico do usuário. A telemetria inclui o Unified Log do macOS (subsistema Security e browser), FSEvents e logs de rede que identificam processos acessando stores de cookies ou tokens de sessão de browser armazenados no Keychain seguidos de navegação web ou chamadas de API autenticadas incomuns. Essa analítica é importante para detectar roubo de sessão em sistemas macOS corporativos onde usuários de alto perfil como executivos e gerentes de TI mantêm sessões autenticadas em serviços críticos como consoles de cloud, sistemas bancários e plataformas de administração. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0721](https://attack.mitre.org/detectionstrategies/DET0260#AN0721)*