# AN1006 — Analytic 1006 ## Descrição Este analítico detecta conexões inesperadas de entrada ou saída via VNC, SSH ou Screen Sharing de fontes externas no macOS, correlacionando tentativas de login repetidas com falha seguidas de sucesso com sessões interativas remotas ou transferências de arquivos anormais. A telemetria utilizada inclui logs do Unified Log para eventos de Screen Sharing e Remote Login, logs de conexão SSH em `/var/log/system.log` e eventos do Network Extension Framework para identificar conexões VNC em portas 5900+. A detecção é relevante para identificar o uso indevido de recursos de acesso remoto nativos do macOS — que são habilitados com frequência em ambientes corporativos — como vetor de acesso inicial ou manutenção de persistência por atacantes com credenciais comprometidas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1006](https://attack.mitre.org/detectionstrategies/DET0354#AN1006)*