# AN1445 — Analytic 1445 ## Descrição Detecta tentativas de forjar ou reutilizar tickets Kerberos em macOS monitorando Unified Logs para atividade anômala de `kinit`/`klist` e correlacionando sequências de autenticação incomuns. A telemetria primária inclui logs unificados do sistema macOS, eventos de autenticação Kerberos e rastros de execução de linha de comando de ferramentas nativas de gerenciamento de tickets. Esta analítica é relevante porque macOS integra suporte nativo a Kerberos em ambientes corporativos, tornando-o um vetor potencial para ataques de roubo de credenciais que podem afetar todo o domínio. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1445](https://attack.mitre.org/detectionstrategies/DET0522#AN1445)*