Failed Authentication Spike
Detects brute-force attempts by counting authentication failures per user and source IP within a time window.
Identitybrute-forceauthenticationidentitydetectionT1110.001
Identity Beginnerby SOC Team 1 min read
Query
EventType = "AuthFailure"
| stats(
count() as FailCount,
min(@timestamp) as FirstSeen,
max(@timestamp) as LastSeen,
by=[UserName, SourceIP]
)
| FailCount > 10
| sort(field=FailCount, order=desc)Explanation
| Pipe | Descripción |
|---|---|
EventType = "AuthFailure" | Filtra solo eventos de autenticación fallida |
stats(count() ...) | Cuenta fallos agrupados por usuario y origen |
FailCount > 10 | Umbral: más de 10 fallos es sospechoso |
sort(...) | Muestra los más activos primero |
Adjustable Variables
- ▸
FailCount > 10: Ajustar umbral según baseline del entorno - ▸Agregar
timeWindowsi necesitas ventanas de tiempo específicas - ▸Combinar con
UserType = "External"para foco en cuentas externas