Este playbook fornece etapas de correção sistemática para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As condições do evento podem ser definidas na própria política ModSec e gerarão um alerta no Splunk quando o evento for criado no ModSec.

Este playbook ajuda a detectar contagens anormais de tráfego na página de login. Neste exemplo, duas rajadas sucessivas de mais de 50 ocorrências/minuto devem ser de um IP para a página de login, o que indica uma tentativa de força bruta de login.