Volver al hub

Failed Authentication Spike

Detects brute-force attempts by counting authentication failures per user and source IP within a time window.

Identitybrute-forceauthenticationidentitydetectionT1110.001
Identity beginnerpor SOC Team 1 min read

Query

EventType = "AuthFailure"
| stats(
    count() as FailCount,
    min(@timestamp) as FirstSeen,
    max(@timestamp) as LastSeen,
    by=[UserName, SourceIP]
  )
| FailCount > 10
| sort(field=FailCount, order=desc)

Explicación

| Pipe | Descripción | |---|---| | `EventType = "AuthFailure"` | Filtra solo eventos de autenticación fallida | | `stats(count() ...)` | Cuenta fallos agrupados por usuario y origen | | `FailCount > 10` | Umbral: más de 10 fallos es sospechoso | | `sort(...)` | Muestra los más activos primero |

Variables a ajustar

- `FailCount > 10`: Ajustar umbral según baseline del entorno - Agregar `timeWindow` si necesitas ventanas de tiempo específicas - Combinar con `UserType = "External"` para foco en cuentas externas