이 플레이북을 사용하여 ModSec에서 탐지한 여러 IP의 로그인 페이지에 대한 무차별 암호 대입 공격 인시던트를 조사합니다. 다음 단계에서는 ModSec IP 버스트별 무차별 암호 대입 대입 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.
시작하기 전에
필요한 역할:
sn_si.admin
flow_designer
프로시저
플레이북이 트리거되고 실행이 시작되면 작업 1에서 소스 IP가 고객에 속하는지 또는 조직의 내부 IP 주소에 속하는지 확인합니다.
작업 2에서 원본 IP가 고객 또는 조직의 내부 IP 주소에 속하는 경우 다음 단계를 수행합니다.
그림 1. ModSec IP 버스트 플레이북에 의한 무차별 암호 대입 공격
작업 3에서 의심스러운 활동이 있었는지 확인합니다.
지난 며칠 동안 소스 IP에서 활동을 확인합니다. IP에 무시할 수 있는 트래픽이 있는 경우 실제 공격을 나타냅니다.
스프레이 사용자 이름을 확인합니다. 예를 들어 사용자 이름이 알파벳 순서로 정렬되어 있는지 확인합니다.
관련된 일반 계정 이름을 찾습니다. 예를 들어 admin, sysadmin, root, administrator 및 기타 애플리케이션 계정 이름입니다.
의심스러운 활동이 없으면 플로우가 종료됩니다.
작업 4에서 의심스러운 활동이 있는 경우 작업 5에서 인스턴스 액세스 기록과 사용자 이름이 진짜인지 확인합니다.
로그에서 Appnode 실패의 징후를 확인합니다. 운영상의 문제로 인해 SAML, SSO 또는 LDAP 실패 이벤트가 있을 수 있습니다.
인스턴스 액세스 기록과 사용자 이름이 진짜처럼 보이지 않으면 플로우가 종료됩니다.
작업 6에서 인스턴스 액세스 기록과 사용자 이름이 진짜처럼 보이면 다음 단계를 수행합니다.
작업 7에서 해당 팀과 조정하여 문제를 해결합니다.
작업 8에서 지금까지의 결과를 문서화합니다.
작업 9에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.
작업 10에서 플로우가 종료됩니다.
원본 IP가 고객 또는 조직의 내부 IP 주소에 속하지 않는 경우 작업 11에서 IT 지원 티켓을 제기하여 원본 IP를 차단합니다.