# AN1521 — Analytic 1521 ## Descrição Detecta uma série de falhas de autenticação (EventID 4625) direcionadas às mesmas ou semelhantes contas de usuário ao longo do tempo a partir de um ou mais IPs remotos, padrão característico de ataques de força bruta ou pulverização de senhas. A telemetria inclui logs de eventos de segurança do Windows (EventID 4625, 4771, 4776), correlação de múltiplas falhas com o mesmo alvo de conta ou do mesmo IP de origem e análise temporal para distinguir ataques de força bruta concentrada de pulverização distribuída de senhas. Esta analítica é fundamental para detectar ataques de credencial que precedem comprometimento de conta, especialmente relevante em ambientes expostos a internet onde RDP e VPNs são frequentemente alvo de pulverização de senhas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1521](https://attack.mitre.org/detectionstrategies/DET0551#AN1521)*