# AN0451 — Analytic 0451 ## Descrição Detecta eventos repetidos de falha de login seguidos de desafios MFA acionados em rápida sucessão, especialmente quando originados de contas de serviço ou endereços IP anômalos. A telemetria necessária inclui logs de eventos Windows (Event IDs 4625, 4648) para falhas de login correlacionadas com logs do agente MFA (Duo, Microsoft Authenticator) para rastrear volume e frequência de pushes por conta e origem. Essa detecção apoia a identificação de ataques de MFA bombing direcionados a workstations Windows, onde adversários com senha válida mas sem aprovação MFA tentam exaurir a aténção do usuário para obter aprovação acidental. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0451](https://attack.mitre.org/detectionstrategies/DET0160#AN0451)*