# AN1042 — Analytic 1042 ## Descrição Este analítico detecta a execução de comandos de descoberta de arquivos e diretórios (como `ls`, `find`, `locaté`) em terminais ou ferramentas de script, especialmente quando ocorrem fora dos fluxos normais de trabalho do usuário. Utiliza telemetria de execução de processos e logs de auditoria do macOS (Endpoint Security Framework) para identificar padrões anômalos de enumeração. A detecção é importante porque adversários frequentemente usam esses comandos para mapear o sistema de arquivos da vítima antes de coletar dados ou mover lateralmente. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1042](https://attack.mitre.org/detectionstrategies/DET0370#AN1042)*