# AN1524 — Analytic 1524 ## Descrição Este analítico detecta múltiplas tentativas de login com falha originadas de fontes externas contra um grande número de contas distintas, seguidas de autenticação bem-sucedida a partir do mesmo endereço IP, padrão típico de ataques de password spraying em provedores de identidade. A telemetria é baseada nos logs de eventos de autenticação do IdP (Azure AD, Okta, Google Workspace) que registram falhas de sign-in com metadados de IP, user-agent e timestamps. A detecção é essencial para identificar comprometimento de contas corporativas, acesso inicial via credenciais roubadas e possível takeover de contas em ambientes SaaS. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1078-004-cloud-accounts|T1078.003 — Valid Accounts: Cloud Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN1524](https://attack.mitre.org/detectionstrategies/DET0551#AN1524)*