# AN1284 — Analytic 1284 ## Descrição Monitora logins SSH realizados com contas padrão como `root`, especialmente quando a autenticação é feita por senha em vez de chave criptográfica. A telemetria inclui logs do sshd (`/var/log/auth.log` ou `journald`), eventos de auditoria do PAM e registros de sessão SSH com método de autenticação. Identificar esse padrão é fundamental pois o uso de senha em vez de chave para root indica configuração insegura frequentemente explorada por atacantes em campanhas de força bruta ou uso de credenciais comprometidas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1078-001-default-accounts|T1078.001 — Default Accounts]] - [[t1110-001-password-guessing|T1110.001 — Password Guessing]] - [[t1021-004-ssh|T1021.004 — SSH]] --- *Fonte: [MITRE ATT&CK — AN1284](https://attack.mitre.org/detectionstrategies/DET0465#AN1284)*