# AN1327 — Analytic 1327 ## Descrição Detecta descoberta de serviços via comandos `launchctl`, ou enumeração de processos usando `ps aux | grep com.apple.` para identificar daemons e serviços em execução no macOS. A telemetria inclui unified logs do macOS para execução de `launchctl list`, `launchctl print` e uso de `ps` para filtrar processos com identificadores Apple, correlacionados com contexto de processo suspeito. Esta detecção é relevante durante reconhecimento pós-comprometimento em macOS, onde adversários mapeiam daemons do sistema para identificar agentes de segurança a contornar, serviços de LaunchDaemon para hijacking de persistência ou processos privilegiados para alvo de injeção. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1007-system-service-discovery|T1007 — System Service Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1543-004-launch-daemon|T1543.004 — Launch Daemon]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN1327](https://attack.mitre.org/detectionstrategies/DET0483#AN1327)*