# AN1139 — Analytic 1139 ## Descrição Detecta logons anômalos ou raros via contas locais por mecanismos de sistema ou remotos como SSH no macOS, utilizando Unified Logs, logs de OpenDirectory e registros de auditoria do sistema para identificar padrões de acesso fora do baseline. A telemetria correlaciona eventos de autenticação (com.apple.ManagedClient, opendirectoryd) com origem da conexão, horário e frequência de uso da conta. Essa detecção é importante porque adversários utilizam contas locais raramente monitoradas no macOS para manter acesso persistente sem acionar alertas baseados em identidade corporativa. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1139](https://attack.mitre.org/detectionstrategies/DET0407#AN1139)*