# AN0726 — Analytic 0726 ## Descrição Esta analítica detecta dados preparados e agregados em locais compartilhados do macOS, como /Users/Shared ou /private/tmp, utilizando ferramentas de compressão como ditto ou zip iniciadas via Terminal ou AppleScript. A telemetria utilizada inclui logs unificados do macOS (Unified Logging), eventos do Endpoint Security Framework e auditoria de processos via ESF ou EDR. A detecção é valiosa porque o uso de diretórios compartilhados para staging de dados é uma técnica comum em ataques direcionados a ambientes corporativos macOS, facilitando a exfiltração posterior. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0726](https://attack.mitre.org/detectionstrategies/DET0261#AN0726)*