# AN1346 — Analytic 1346 ## Descrição Detecta a cadeia comportamental em macOS: (1) login interativo de terceiro ou inscrição de dispositivo baseada em mobileconfig; (2) uso de privilégio ou alteração de grupo admin; (3) montagens ou SSH de movimentação lateral. Correlaciona unified logs e telemetria de rede. A telemetria inclui unified logs do macOS para eventos de autenticação e alteração de grupo, alertas sobre profiles MDM instalados de fontes não confiáveis, eventos de criação de novas montagens de rede e conexões SSH de saída subsequentes. Esta detecção é relevante para identificar abuso de perfis MDM ou credenciais de parceiros comprometidas que permitem ao adversário obter acesso de administrador em dispositivos macOS e então movimentar-se lateralmente pela rede corporativa. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-004-ssh|T1021.004 — SSH]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN1346](https://attack.mitre.org/detectionstrategies/DET0488#AN1346)*