# AN0848 — Analytic 0848 ## Descrição Esta analítica detecta a enumeração de usuários locais do macOS usando `dscl`, `id`, `dscacheutil` ou acesso ao `/etc/passwd`. A telemetria utilizada inclui o EndpointSecurity Framework e Unified Log para monitorar a execução desses utilitários de enumeração de diretório, especialmente quando invocados por processos com linhagem suspeita. Esta detecção é relevante para identificar implantes macOS em fase de reconhecimento pós-comprometimento, onde adversários mapeiam o ambiente de usuários locais antes de tentar escalonamento de privilégios via exploração de contas de administrador ou SUDO. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0848](https://attack.mitre.org/detectionstrategies/DET0303#AN0848)*