# AN0888 — Analytic 0888 ## Descrição Este analytic identifica a execução de comandos ou chamadas de API que desabilitam o Gatekeeper, XProtect ou as System Integrity Protections (SIP) do macOS, bem como alterações de configuração capturadas nos Unified Logs do sistema. A telemetria inclui logs do subsistema de segurança do macOS, eventos de modificação de daemon (`syspolicyd`) e registros de alterações de política via `spctl`. Desabilitar esses mecanismos de proteção é um indicador crítico de comprometimento, pois reduz drasticamente a superfície defensiva do sistema operacional e frequentemente precede a execução de malware não assinado ou adware agressivo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1553-001-gatekeeper-bypass|T1553.001 — Gatekeeper Bypass]] --- *Fonte: [MITRE ATT&CK — AN0888](https://attack.mitre.org/detectionstrategies/DET0317#AN0888)*