Utiliser le playbook ModSec Brute force by IP Burst

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de tentatives par force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook ModSec Brute force by IP Burst.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation.
    2. Dans l’action 2, si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’entreprise, procédez comme suit :
      Figure 1. ModSec Brute force par IP Burst playbook
      Tâches de réponse si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’entreprise.
      1. Dans l’action 3, vérifiez s’il y a eu des activités suspectes.
        • Vérifiez l’activité à partir de l’adresse IP source au cours des derniers jours. Si l’adresse IP avait un trafic négligeable, cela indique une attaque réelle.
        • Vérifiez les noms d’utilisateur de pulvérisation. Par exemple, vérifiez si les noms d’utilisateur sont classés par ordre alphabétique.
        • Recherchez les noms de compte génériques concernés. Par exemple, les noms de compte d’administrateur, d’administrateur système, de racine, d’administrateur et d’autres comptes d’application.

        S’il n’y a aucune activité suspecte, le flux s’arrête.

      2. Dans l’action 4, en cas d’activités suspectes, vérifiez dans l’action 5 si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques.

        Vérifiez les Appnode journaux pour voir s’il y a des signes de défaillance. Des événements d’échec SAML, SSO ou LDAP peuvent être dus à un problème opérationnel.

        Si l’historique d’accès à l’instance et le nom d’utilisateur ne semblent pas authentiques, le flux s’arrête.
      3. Dans l’action 6, si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques, procédez comme suit :
        1. Dans l’action 7, coordonnez-vous avec l’équipe appropriée pour résoudre le problème.
        2. Dans l’action 8, documentez les résultats obtenus jusqu’à présent.
        3. Dans l’action 9, terminez la vérification post-incident avant de fermer la tâche.

          Dans l’action 10, le flux se termine.

    3. Si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’entreprise, émettez un ticket d’assistance informatique pour bloquer les adresses IP sources dans l’action 11.
      Figure 2. Utilisation du playbook ModSec Brute force by IP Burst
      Tâches de réponse si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’entreprise.
    4. Dans l’action 12, réinitialisez les informations d’identification potentiellement compromises.
    5. Dans l’action 13, bloquez l’accès réseau aux systèmes hôtes compromis.
    6. Dans Action 14, corrigez les appareils concernés.
    7. Dans l’action 15, levez le confinement et ramenez les systèmes aux normes opérationnelles.
    8. Dans l’action 16, terminez la vérification post-incident avant de fermer la tâche.