diff --git a/templates_gold/windows_active_agent/template_windows_gold_ptbr.yaml b/templates_gold/windows_active_agent/template_windows_gold_ptbr.yaml
index 8f8debe..0e74b01 100644
--- a/templates_gold/windows_active_agent/template_windows_gold_ptbr.yaml
+++ b/templates_gold/windows_active_agent/template_windows_gold_ptbr.yaml
@@ -602,6 +602,32 @@ zabbix_export:
       key: eventlog[Security,,,,4625]
       delay: 1m
       value_type: LOG
+      preprocessing:
+      - type: JAVASCRIPT
+        parameters:
+        - |
+          var accountName = "N/A";
+          var accountDomain = "N/A";
+          var workstation = "N/A";
+          var sourceIP = "N/A";
+          var reason = "N/A";
+
+          var accountMatch = value.match(/Account For Which Logon Failed:[\s\S]*?Account Name:\s+([^\r\n]+)/);
+          if (accountMatch) accountName = accountMatch[1].trim();
+
+          var domainMatch = value.match(/Account For Which Logon Failed:[\s\S]*?Account Domain:\s+([^\r\n]+)/);
+          if (domainMatch) accountDomain = domainMatch[1].trim();
+
+          var workstationMatch = value.match(/Network Information:[\s\S]*?Workstation Name:\s+([^\r\n]+)/);
+          if (workstationMatch) workstation = workstationMatch[1].trim();
+
+          var ipMatch = value.match(/Source Network Address:\s+([^\r\n]+)/);
+          if (ipMatch) sourceIP = ipMatch[1].trim();
+
+          var reasonMatch = value.match(/Failure Reason:\s+([^\r\n]+)/);
+          if (reasonMatch) reason = reasonMatch[1].trim();
+
+          return "👤 Usuário: " + accountName + "\n🏢 Domínio: " + accountDomain + "\n💻 Estação: " + workstation + "\n🌍 Origem: " + sourceIP + "\n❌ Motivo: " + reason;
       description: Monitora o Event ID 4625 (Logon falhou) no log de Segurança.
       tags:
       - tag: component
@@ -612,7 +638,17 @@ zabbix_export:
         name: '👮 Windows: Possível Brute Force (Falhas de Login)'
         event_name: '👮 Windows: 5+ Falhas de Login em 2m'
         priority: HIGH
-        description: Foram detectadas múltiplas falhas de login (Event ID 4625) em curto período.
+        description: |
+          Foram detectadas múltiplas falhas de login (Event ID 4625) em curto período.
+
+          📉 **Impacto**:
+          Pode indicar uma tentativa de ataque de força bruta ou, mais comumente, um serviço/aplicação com credenciais antigas tentando autenticar repetidamente. Isso pode bloquear a conta do usuário no AD.
+
+          🛠️ **Ação (N1/N2)**:
+          1. Verifique o campo "Account Name" e "Workstation Name" no log abaixo.
+          2. Se for um *usuário*, contate-o para verificar se ele trocou a senha recentemente e esqueceu de atualizar no celular/tablet.
+          3. Se for um *serviço*, verifique tarefas agendadas ou serviços do Windows com credenciais inválidas.
+          4. Se o "Source Network Address" for externo, bloqueie o IP no Firewall imediatamente.
     discovery_rules:
     - uuid: c05c8d1be5614ffab1688cc92db32f12
       name: Descoberta de interfaces de rede