이 플레이북을 사용하여 ModSec에서 탐지한 여러 IP의 로그인 페이지에서 무차별 암호 대입 시도 인시던트를 조사합니다. 다음 단계에서는 IP 버스트에 의한 ModSec 무차별 암호 대입 대입 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
sn_si.admin
flow_designer
프로시저
Playbook이 트리거되고 실행이 시작되면 작업 1에서 원본 IP가 고객에 속하는지 또는 조직의 내부 IP 주소 (작업 1)에 속하는지 확인합니다.
작업 2에서 원본 IP가 고객 또는 조직의 내부 IP 주소에 속하는 경우 다음 단계를 수행합니다.
그림 1. ModSec IP 버스트 플레이북에 의한 무차별 암호 대입
작업 3에서 의심스러운 활동이 있었는지 확인합니다.
지난 며칠 동안 소스 IP의 활동을 확인합니다. IP에 무시할 수 있는 트래픽이 있는 경우 실제 공격을 나타냅니다.
스프레이 사용자 이름을 확인하십시오. 예를 들어 사용자 이름이 알파벳 순서로 정렬되어 있는지 확인합니다.
관련된 일반 계정 이름을 찾습니다. 예를 들어 admin, sysadmin, root, administrator 및 기타 애플리케이션 계정 이름입니다.
의심스러운 활동이 없으면 흐름이 종료됩니다.
작업 4에서 의심스러운 활동이 있는 경우 작업 5에서 인스턴스 액세스 기록과 사용자 이름이 진짜인지 확인합니다.
로그에서 Appnode 실패의 징후를 확인합니다. SAML, SSO 또는 LDAP 실패 이벤트가 있을 수 있으며, 이는 운영 문제로 인해 발생할 수 있습니다.
인스턴스 액세스 기록과 사용자 이름이 진짜처럼 보이지 않으면 플로우가 종료됩니다.
작업 6에서 인스턴스 액세스 기록과 사용자 이름이 진짜처럼 보이면 다음 단계를 수행합니다.
작업 7에서 해당 팀과 협력하여 문제를 해결합니다.
작업 8에서 지금까지의 결과를 문서화합니다.
작업 9에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.
작업 10에서는 플로우가 종료됩니다.
원본 IP가 고객 또는 조직의 내부 IP 주소에 속하지 않는 경우 작업 11에서 IT 지원 티켓을 제기하여 원본 IP를 차단합니다.