# AN0730 — Analytic 0730 ## Descrição Esta analítica utiliza Unified Logs do macOS para detectar respostas DNS anômalas correlacionadas com conexões subsequentes a portas calculadas ou não padrão, monitorando aplicativos que desviam de padrões de rede esperados. A telemetria inclui o subsistema de logs unificados do macOS (com categorias network e dns), eventos do Endpoint Security Framework e análise de tráfego via Little Snitch ou EDR. A detecção é valiosa porque aplicativos legítimos raramente se conectam a portas derivadas de aritmética sobre endereços IP, tornando esse padrão altamente suspeito como indicativo de C2 personalizado. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0730](https://attack.mitre.org/detectionstrategies/DET0262#AN0730)*