# AN1635 — Analytic 1635 ## Descrição Esta analítica detecta exploração de serviços de segurança e integridade do macOS, como Gatekeeper, XProtect ou agentes de EDR, observável por processos não assinados tentando operações privilegiadas, encerramento anormal de daemons de segurança ou modificações em logs de integridade do sistema. A telemetria inclui Unified Logs monitorando falhas de serviços de segurança (`com.apple.XProtect`, `com.apple.security.*`), alertas de SIP (System Integrity Protection) e correlação de eventos de AMFI (Apple Mobile File Integrity) com execuções suspeitas de processos não assinados. Esta detecção é relevante porque malware macOS sofisticado frequentemente tenta contornar Gatekeeper e XProtect antes de estabelecer persistência. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1635](https://attack.mitre.org/detectionstrategies/DET0595#AN1635)*