Use o playbook de Força bruta do ModSec por Burst de IP

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de força bruta do ModSec por IP Burst.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1 verifique se o IP de origem pertence a um cliente ou ao endereço IP interno da organização.
    2. Na Ação 2, se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização, execute as seguintes etapas:
      Figura 1. Força bruta do ModSec por playbook de rajada de IP
      Tarefas de resposta se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização.
      1. Na Ação 3, verifique se houve atividades suspeitas.
        • Verifique a atividade do IP de origem nos últimos dias. Se o IP tiver tráfego insignificante, isso indica um ataque real.
        • Verifique os nomes de usuário de aplicação. Por exemplo, verifique se os nomes de usuário estão organizados em ordem alfabética.
        • Procure nomes de contas genéricas envolvidas. Por exemplo, admin, sysadmin, root, administrador e outros nomes de conta de aplicação.

        Se não houver atividades suspeitas, o fluxo será encerrado.

      2. Na Ação 4, se houver atividades suspeitas, na Ação 5, verifique se o histórico de acesso à instância e o nome de usuário parecem verdadeiros.

        Verifique os logs Appnode em busca de indicações de falha. Pode haver eventos de falha de SAML, SSO ou LDAP, o que pode ser devido a um problema operacional.

        Se o histórico de acesso à instância e o nome de usuário não parecerem verdadeiros, o fluxo será encerrado.
      3. Na Ação 6, se o histórico de acesso à instância e o nome de usuário parecerem verdadeiros, execute as seguintes etapas:
        1. Na Ação 7, coordene com a equipe apropriada para corrigir o problema.
        2. Na Ação 8, documente as descobertas até o momento.
        3. Na Ação 9, conclua a revisão pós-incidente antes de fechar a tarefa.

          Na Ação 10, o fluxo termina.

    3. Se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização, na Ação 11, gere um tíquete de suporte de TI para bloquear os IPs de origem.
      Figura 2. Como usar o playbook de Força bruta do ModSec por Burst de IP
      Tarefas de resposta se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização.
    4. Na Ação 12, redefina as credenciais potencialmente comprometidas.
    5. Na Ação 13, bloqueie o acesso à rede para sistemas host comprometidos.
    6. Na Ação 14, corrija os dispositivos afetados.
    7. Na Ação 15, remova a contenção e restaure os sistemas aos padrões operacionais.
    8. Na Ação 16, conclua a revisão pós-incidente antes de fechar a tarefa.