# AN1102 — Analytic 1102 ## Descrição Este analítico detecta adversários que executam `system_profiler SPApplicationsDataType` ou consultam arquivos plist para enumerar software instalado via Terminal ou scripts no macOS. Utiliza telemetria do Endpoint Security Framework (ESF) e monitoramento de execução de processos para identificar consultas sistemáticas ao perfil de software do sistema. A detecção é relevante porque adversários no macOS frequentemente realizam enumeração de aplicações para identificar ferramentas de segurança instaladas (como EDR, antivírus) antes de implantar payloads projetados para evadir proteções específicas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1102](https://attack.mitre.org/detectionstrategies/DET0392#AN1102)*