# AN0825 — Analytic 0825 ## Descrição Esta analítica detecta edições não autorizadas em perfis de configuração do sistema, alterações inesperadas de trust de certificados, ou padrões anormais de ARP/DNS indicativos de interceptação no macOS. A telemetria utilizada inclui o EndpointSecurity Framework para monitorar modificações em perfis de configuração MDM e o Keychain, além de logs de rede para padrões suspeitos de resolução. Esta detecção é relevante em ambientes macOS corporativos onde a instalação de certificados raiz falsos ou manipulação de perfis MDM podem permitir que adversários interceptem comúnicações TLS de toda a organização. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0825](https://attack.mitre.org/detectionstrategies/DET0296#AN0825)*