# AN1339 — Analytic 1339 ## Descrição Detecta falhas de sign-in em aplicações SSO empresariais ou plataformas SaaS originadas do mesmo endereço IP usando a mesma senha contra múltiplas identidades de usuário, caracterizando password spraying em nível de provedor de identidade. A telemetria inclui logs de sign-in do Azure AD/Okta/Ping, alertas de Identity Protection sobre padrões de autenticação anômalos e correlação de falhas por IP de origem, UserAgent e padrão de credenciais tentadas. Esta detecção é crítica pois ataques de password spraying contra provedores de identidade corporativa podem comprometer múltiplas contas simultaneamente, permitindo ao adversário acesso a todos os sistemas integrados ao IdP corporativo com impacto transversal na organização. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN1339](https://attack.mitre.org/detectionstrategies/DET0487#AN1339)*