# AN1522 — Analytic 1522 ## Descrição Este analítico detecta tentativas repetidas de autenticação SSH com falha seguidas de um login bem-sucedido a partir do mesmo host remoto, padrão clássico de ataques de força bruta ou password spraying contra serviços SSH em Linux. A telemetria principal são os logs de autenticação do sistema (`/var/log/auth.log` ou `journald`) e eventos de sessão SSH que correlacionam falhas consecutivas com eventual acesso bem-sucedido. A relevância para detecção é alta pois esse padrão indica comprometimento de credenciais ou acesso não autorizado a sistemas críticos via protocolo de administração remota. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1021-002-smb-windows-admin-shares|T1021.002 — Remote Services: SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1522](https://attack.mitre.org/detectionstrategies/DET0551#AN1522)*