# AN0295 — Analytic 0295 ## Descrição Esta analítica detecta logins válidos repentinos de contas que anteriormente tiveram credenciais extraídas mas não haviam se autenticado com sucesso no passado, correlacionando com a linha do tempo de suspeita de quebra de hash. A telemetria utilizada inclui logs de autenticação do provedor de identidade (Okta, Azure AD) correlacionados com eventos anteriores de extração de credenciais identificados pelo SIEM. A detecção é importante pois o sucesso de autenticação pós-extração de hash é indicador de que a quebra offline foi bem-sucedida, sinalizando que o adversário obteve acesso a credenciais válidas em texto claro. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0295](https://attack.mitre.org/detectionstrategies/DET0105#AN0295)*