# AN1200 — Analytic 1200 ## Descrição Monitora o acesso ao banco de dados Keychain e invocações suspeitas dos utilitários `security` e `osascript`, correlacionando execução de processos com tentativas de dump ou desbloqueio de dados do Keychain. A telemetria inclui Unified Logs do macOS com foco em subsistemas de segurança e autorização, eventos de chamada de API do Keychain via Endpoint Security Framework e monitoramento de execução de comandos `security` para identificar extração não autorizada de credenciais armazenadas. O Keychain do macOS armazena senhas de Wi-Fi, certificados, tokens de aplicações e chaves criptográficas, tornando sua proteção crítica em ambientes corporativos onde o comprometimento pode dar acesso a múltiplos sistemas e serviços. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN1200](https://attack.mitre.org/detectionstrategies/DET0430#AN1200)*