# AN1027 — Analytic 1027 ## Descrição Este analítico detecta enumeração de grupos de domínio no macOS usando `dscacheutil` ou `dscl`, frequentemente executada logo após login inicial ou consultas de confiança de domínio, como parte de reconhecimento pós-comprometimento em ambientes macOS integrados ao Active Directory via Directory Utility. A telemetria utilizada inclui logs do Unified Log para execuções de `dscl` e `dscacheutil` com parâmetros de listagem de grupos, eventos do EndpointSecurity framework para correlação de processo pai e análise de frequência para identificar enumeração em lote incomum. A detecção é importante para ambientes macOS empresariais com binding ao AD, onde o comprometimento de um laptop corporativo pode ser usado como ponto de partida para reconhecimento de domínio antes de ataques de movimento lateral via Kerberos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1027](https://attack.mitre.org/detectionstrategies/DET0360#AN1027)*