# AN1439 — Analytic 1439 ## Descrição Detecta adversários que limpam arquivos de log no macOS correlacionando chamadas a utilitários de shell (ex: `echo >`, `rm`, `truncaté`) direcionados a arquivos em /var/log/ com contexto suspeito, como usuários não administrativos ou linhagem de processos anômala. A telemetria é obtida via Endpoint Security Framework (ESF) do macOS, logs de auditoria unificados (ULS) e eventos de acesso ao sistema de arquivos. A limpeza de logs em macOS é frequentemente associada a etapas pós-exploração onde adversários tentam apagar evidências de acesso não autorizado. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1439](https://attack.mitre.org/detectionstrategies/DET0520#AN1439)*