# AN1639 — Analytic 1639 ## Descrição Esta analítica detecta login SSH em macOS registrado via Unified Logs seguido de execução de processos incomuns, especialmente fora dos padrões normais de comportamento do usuário autenticado, indicando possível abuso de acesso remoto legítimo por adversários. A telemetria inclui Unified Logs com subsistema `com.apple.OpenSSH` para eventos de autenticação, correlacionados com telemetria de processos via `endpointsecurity` ou EDR para execuções de processos filhos da sessão SSH. Esta detecção é relevante em ambientes macOS corporativos onde SSH é habilitado para administração remota, tornando-se alvo de ataques com credenciais vazadas ou de força bruta. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1639](https://attack.mitre.org/detectionstrategies/DET0596#AN1639)*