# AN1005 — Analytic 1005 ## Descrição Este analítico detecta tentativas repetidas de autenticação SSH, VPN ou gateway RDP a partir de IPs externos seguidas de logon bem-sucedido e atividade de shell remoto ou movimento lateral subsequente (como scp/sftp), indicando possível uso de credenciais comprometidas ou força bruta bem-sucedida. A telemetria utilizada inclui logs do `/var/log/auth.log` ou `/var/log/secure`, logs de VPN e monitoramento de comandos `scp`, `sftp`, `rsync` executados logo após autenticação, correlacionados com baseline de comportamento de usuário. A detecção é fundamental para proteger servidores Linux expostos na internet — especialmente servidores SSH com autenticação por senha habilitada — que são alvos constantes de ataques de credential stuffing e brute force por botnets automatizadas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1005](https://attack.mitre.org/detectionstrategies/DET0354#AN1005)*