# AN1545 — Analytic 1545 ## Descrição Este analítico detecta logins interativos e remotos por contas de serviço ou usuários em horários incomuns no macOS, especialmente quando acompanhados de atividade inesperada de processos filho que indica execução de código não autorizado. A telemetria é obtida a partir do unified log do macOS e registros de autenticação do loginwindow/sshd que capturam timestamps de login, tipo de sessão e hierarquia de processos gerada pela sessão autenticada. A detecção é relevante para identificar uso de credenciais comprometidas em ambientes macOS corporativos, onde contas de serviço com acesso privilegiado raramente deveriam ter logins interativos, especialmente em horários fora do expediente. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1543-001-launch-agent|T1543.001 — Launch Agent]] --- *Fonte: [MITRE ATT&CK — AN1545](https://attack.mitre.org/detectionstrategies/DET0560#AN1545)*