# AN1262 — Analytic 1262 ## Descrição Detecta múltiplas tentativas de autenticação falhas usando pares distintos de nome de usuário/senha de um único endereço IP ou sessão em uma janela de tempo curta, visando serviços comuns como RDP ou SMB no Windows. A telemetria inclui eventos de auditoria de segurança Windows (EID 4625, 4771) agrupados por IP de origem e correlacionados com diversidade de credenciais testadas. Essa análise identifica ataques de credential stuffing que utilizam listas de credenciais vazadas para comprometer contas corporativas. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021.001-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] --- *Fonte: [MITRE ATT&CK — AN1262](https://attack.mitre.org/detectionstrategies/DET0460#AN1262)*