# AN1163 — Analytic 1163 ## Descrição Detecta acesso a compartilhamentos de nuvem montados ou repositórios de documentos via navegador, terminal ou Finder por usuários que normalmente não interagem com esses recursos, incluindo enumeração por scripts ou download em massa. A telemetria inclui Unified Logs do macOS, eventos de acesso ao sistema de arquivos e logs de aplicações como Finder e Safari para correlacionar acesso anômalo a repositórios compartilhados com contexto de identidade. Esse analítico é relevante para ambientes corporativos macOS onde usuários com acesso legítimo a dados de nuvem podem ter suas credenciais comprometidas para exfiltração silenciosa de conteúdo sensível. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1163](https://attack.mitre.org/detectionstrategies/DET0413#AN1163)*