# AN1336 — Analytic 1336 ## Descrição Detecta um alto volume de falhas de autenticação usando uma única senha (ou um pequeno conjunto) contra muitas contas de usuário diferentes dentro de uma janela de tempo definida, caracterizando um ataque de password spraying. A telemetria inclui eventos de logon falho do Windows (Event ID 4625) correlacionados por origem de IP e senha tentada, logs de autenticação do Active Directory e alertas de SIEM sobre padrões de falha de autenticação distribuída. Esta detecção é essencial pois o password spraying é uma técnica eficaz para obter acesso a contas corporativas sem acionar bloqueios de conta, utilizando senhas comuns ou sazonais contra toda a base de usuários de forma silenciosa. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1336](https://attack.mitre.org/detectionstrategies/DET0487#AN1336)*