# AN0452 — Analytic 0452 ## Descrição Detecta entradas PAM e syslog com frequência incomum de tentativas de login que acionam prompts MFA, particularmente quando desafios MFA não correspondem ao comportamento esperado do usuário. A telemetria necessária inclui logs PAM (`/var/log/auth.log`, `/var/log/secure`), syslog do servidor de autenticação MFA e correlação de eventos de autenticação SSH/login com padrões de frequência anômalos por usuário e IP de origem. Essa detecção é relevante para servidores Linux com autenticação MFA habilitada via PAM, onde ataques de bombardeio MFA podem comprometer contas de acesso a servidores críticos de infraestrutura. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1021-001-remote-services-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] --- *Fonte: [MITRE ATT&CK — AN0452](https://attack.mitre.org/detectionstrategies/DET0160#AN0452)*