# AN1093 — Analytic 1093 ## Descrição Este analítico detecta alterações anômalas no cache ARP e broadcasts ARP não solicitados no macOS usando logs unificados e captura de pacotes. A detecção comportamental inclui múltiplos endereços IP mapeados para o mesmo endereço MAC e tráfego ARP gratuito repetido, indicadores de envenenamento ARP. Utiliza telemetria do Endpoint Security Framework (ESF), ferramentas de monitoramento de rede e análise de pcap para correlacionar anomalias ARP com atividade suspeita de rede. A detecção é relevante porque ataques ARP em redes com dispositivos macOS podem interceptar tráfego corporativo sensível, incluindo credenciais de serviços internos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1093](https://attack.mitre.org/detectionstrategies/DET0387#AN1093)*