# AN1276 — Analytic 1276 ## Descrição Detecta múltiplas falhas de autenticação para usuários válidos ou inválidos seguidas de sucesso do mesmo IP/usuário no Linux, indicando ataque de força bruta bem-sucedido. A telemetria inclui logs de autenticação PAM e SSH (/var/log/auth.log, /var/log/secure) correlacionando sequências de falha e sucesso por IP e conta de usuário. Essa análise identifica o momento de comprometimento de conta em servidores Linux após ataque de força bruta, permitindo resposta rápida antes de movimentação lateral. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110.001-password-guessing|T1110.001 — Password Guessing]] - [[t1021.004-ssh|T1021.004 — SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1276](https://attack.mitre.org/detectionstrategies/DET0463#AN1276)*