# AN0752 — Analytic 0752 ## Descrição Esta analítica detecta login remoto via ARD (Apple Remote Desktop) ou SSH no macOS seguido de atividade do processo screensharingd ou modificação de arquivos protegidos pelo TCC (Transparency, Consent, and Control). A telemetria inclui Unified Logs do macOS para eventos de Remote Login e screensharingd, logs de acesso TCC e eventos do Endpoint Security Framework para modificações de arquivos sensíveis. A detecção é relevante porque o uso combinado de ARD e modificação de proteções TCC é um indicador de comprometimento avançado visando persistência ou exfiltração em macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0752](https://attack.mitre.org/detectionstrategies/DET0269#AN0752)*