# AN1973 — Analytic 1973 ## Descrição Esta analítica detecta probing de informações de usuários por meio de monitoramento de tráfego de rede suspeito — incluindo grande volume ou iterações de requisições de autenticação de uma única fonte (especialmente IPs de adversários ou botnets conhecidos) e análise de metadados HTTP como `Referer` e `User-Agent` que revelam atividade de coleta de informações de usuário. A telemetria inclui logs de portais de autenticação e diretórios web monitorando padrões de enumeração de usuários (diferenças de tempo de resposta, mensagens de erro reveladoras), alertas de raté limiting em APIs de autenticação e correlação de IPs de origem com listas de botnets e adversários conhecidos. Esta detecção é importante porque a enumeração de usuários via tráfego de rede é um precursor de ataques de credential stuffing e phishing direcionado. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1589-gather-victim-identity-information|T1589 — Gather Victim Identity Information]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN1973](https://attack.mitre.org/detectionstrategies/DET0841#AN1973)*