# AN1523 — Analytic 1523 ## Descrição Este analítico detecta séries de falhas de login através do processo `loginwindow` ou `sshd` no macOS, caracterizadas por repetição de nomes de usuário ou prompts excessivos de senha, indicando tentativas de força bruta ou password spraying. A telemetria é obtida a partir de logs unificados do sistema (`unified log`) e registros de autenticação do PAM que capturam eventos de falha de login com contexto de processo. Esse padrão é crítico para detectar acesso inicial não autorizado a estações de trabalho e servidores macOS, especialmente em ambientes corporativos onde o `sshd` está exposto. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-001-password-guessing|T1110.001 — Password Guessing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] --- *Fonte: [MITRE ATT&CK — AN1523](https://attack.mitre.org/detectionstrategies/DET0551#AN1523)*