# AN1518 — Analytic 1518 ## Descrição Detecta acesso a diretórios de chaves privadas do usuário (como `/Users/*/.ssh`) via Terminal, engines de scripting ou processos não padrão em macOS. A telemetria inclui Unified Logs e Endpoint Security Framework para monitoramento de acesso a arquivos em diretórios `.ssh`, análise de processos acessando material de chave privada e correlação com conexões SSH de saída subsequentes. Esta analítica é relevante para detectar roubo de credenciais SSH em macOS corporativo, onde desenvolvedores e administradores de sistemas frequentemente armazenam chaves de acesso a múltiplos ambientes que, se roubadas, permitem acesso amplo à infraestrutura. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] --- *Fonte: [MITRE ATT&CK — AN1518](https://attack.mitre.org/detectionstrategies/DET0549#AN1518)*