det0463-brute-force-authentication-failures-with-multi-platform-log-correlation

# DET0463 — Brute Force Authentication Failures with Multi-Platform Log Correlation ## Descrição Ataques de força bruta de autenticação são tentativas sistemáticas de comprometer contas por meio de múltiplas tentativas de login com senhas variadas. Embora conceitualmente simples, a detecção eficaz em ambientes corporativos modernos é complexa porque esses ataques são frequentemente distribuídos entre múltiplas origens (IPs, dispositivos) e direcionados a múltiplos sistemas e plataformas simultaneamente, o que dilui os indicadores quando analisados isoladamente. A correlação multi-plataforma é essencial: um adversário pode tentar autenticação com as mesmas credenciais em VPN, OWA (Outlook Web Access), Azure AD, SSH e RDP em intervalos calculados para permanecer abaixo dos limiares individuais de detecção. A visibilidade consolidada de logs de autenticação de todas as plataformas — incluindo sistemas legados, serviços SaaS e infraestrutura on-premises — é um pré-requisito para detecção eficaz. No contexto brasileiro, ataques de força bruta são frequentes contra sistemas de home banking, portais governamentais (SEFAZ, Receita Federal) e plataformas de saúde. A correlação de logs de múltiplas fontes no SIEM, com enriquecimento de threat intelligence (reputação de IP, geolocalização, ASN) aumenta significativamente a fidelidade da detecção. ## Indicadores de Detecção - N ou mais falhas de autenticação (threshold configurável por sistema) em janela de tempo T para mesmo usuário - Mesmo usuário com falhas de autenticação em múltiplos sistemas (VPN + AD + OWA) em < 5 minutos - Falhas de autenticação de IP em lista de reputação negativa ou de país incomum para a organização - Password spraying: poucas tentativas (1-3) para múltiplas contas diferentes do mesmo IP - Login bem-sucedido imediatamente após série de falhas para a mesma conta (indicando acerto por força bruta) - Evento Windows 4625 (falha de logon) com `LogonType=3` em volume anômalo no mesmo DC ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[T1110003-password-spraying|T1110.003 — Password Spraying]] - [[T1110004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1021001-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] - [[t1133-external-remote-services|T1133 — External Remote Services]] ## Analytics Relacionadas - [[an1275-analytic-1275|AN1275 — Analytic 1275]] - [[an1276-analytic-1276|AN1276 — Analytic 1276]] - [[an1277-analytic-1277|AN1277 — Analytic 1277]] - [[an1278-analytic-1278|AN1278 — Analytic 1278]] - [[an1279-analytic-1279|AN1279 — Analytic 1279]] --- *Fonte: [MITRE ATT&CK — DET0463](https://attack.mitre.org/detectionstrategies/DET0463)*