Verwenden Sie das ModSec Brute Force by IP Burst Playbook

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents von Brute-Force-Versuchen auf den Anmeldeseiten von mehreren von ModSec erkannten IPs zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook ModSec Brute-Force by IP Burst verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, überprüfen Sie in Aktion 1, ob die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation gehört.
    2. Wenn in Aktion 2 die Quell-IP zu einem Kunden oder zur internen IP-Adresse des Unternehmens gehört, führen Sie die folgenden Schritte aus:
      Abbildung : 1. ModSec Brute Force nach IP-Burst-Playbook
      Antwortaufgaben, wenn die Quell-IP einem Kunden oder der internen IP-Adresse der Organisation gehört.
      1. Überprüfen Sie in Aktion 3, ob verdächtige Aktivitäten aufgetreten sind.
        • Überprüfen Sie die Aktivität von der Quell-IP in den letzten Tagen. Wenn die IP vernachlässigbaren Datenverkehr aufwies, weist dies auf einen tatsächlichen Angriff hin.
        • Überprüfen Sie die Anwendernamen der Anwender. Überprüfen Sie beispielsweise, ob die Anwendernamen in alphabetischer Reihenfolge angeordnet sind.
        • Suchen Sie nach beteiligten generischen Accountnamen. Beispiele: admin, sysadmin, root, Administrator und andere Anwendungsaccountnamen.

        Wenn keine verdächtigen Aktivitäten vorhanden sind, wird der Flow beendet.

      2. Wenn in Aktion 4 verdächtige Aktivitäten vorlagen, überprüfen Sie in Aktion 5, ob der Instanzzugriffsverlauf und der Anwendername echt sind.

        Überprüfen Sie die Protokolle Appnode auf Anzeichen für einen Fehler. Es könnten SAML-, SSO- oder LDAP-Fehlerereignisse auftreten, die auf ein Betriebsproblem zurückzuführen sein können.

        Wenn der Instanzzugriffsverlauf und der Anwendername nicht Original aussehen, wird der Flow beendet.
      3. Wenn in Aktion 6 der Instanzzugriffsverlauf und der Anwendername Original aussehen, führen Sie die folgenden Schritte aus:
        1. Koordinieren Sie in Aktion 7 mit dem entsprechenden Team, um das Problem zu beheben.
        2. Dokumentieren Sie in Aktion 8 die bisherigen Ergebnisse.
        3. Schließen Sie in Aktion 9 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.

          In Aktion 10 endet der Flow.

    3. Wenn die Quell-IP nicht zu einem Kunden oder zur internen IP-Adresse des Unternehmens gehört, lösen Sie in Aktion 11 ein IT-Support-Ticket aus, um die Quell-IPs zu blockieren.
      Abbildung : 2. Mit dem Playbook „ModSec Brute Force by IP Burst“
      Antwortaufgaben, wenn die Quell-IP nicht zu einem Kunden oder zur internen IP-Adresse der Organisation gehört.
    4. Setzen Sie in Aktion 12 die potenziell gefährdeten Anmeldeinformationen zurück.
    5. Blockieren Sie in Aktion 13 den Netzwerkzugriff auf gefährdete Hostsysteme.
    6. Patchen Sie in Aktion 14 die betroffenen Geräte.
    7. Heben Sie in Aktion 15 das Containment auf, und bringen Sie die Systeme wieder in den Betriebsstandard.
    8. Schließen Sie in Aktion 16 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.