# AN1265 — Analytic 1265 ## Descrição Detecta o mesmo IP de origem realizando múltiplas tentativas de autenticação usando combinações conhecidas de nome de usuário/senha comprometidas em diferentes identidades no Azure AD, Okta ou Duo. A telemetria inclui logs de autenticação de provedores de identidade em nuvem, eventos de falha de MFA e correlação de padrões de acesso por IP de origem. Essa análise é crítica para detectar ataques de credential stuffing direcionados a infraestruturas de identidade corporativa em nuvem, que podem levar a comprometimento de múltiplas contas. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1078.004-valid-accounts-cloud-accounts|T1078.004 — Valid Accounts: Cloud Accounts]] - [[t1556.006-multi-factor-authentication|T1556.006 — Multi-Factor Authentication]] --- *Fonte: [MITRE ATT&CK — AN1265](https://attack.mitre.org/detectionstrategies/DET0460#AN1265)*