Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents von Brute-Force-Versuchen auf den Anmeldeseiten von mehreren von ModSec erkannten IPs. Die Event-Bedingungen können in der ModSec-Richtlinie selbst festgelegt werden und lösen bei Splunk eine Warnung aus, wenn das Event bei ModSec erstellt wird.

Dieses Playbook hilft bei der Erkennung von anormalen Datenverkehrszahlen auf der Anmeldeseite. In diesem Beispiel sollten zwei aufeinanderfolgende Bursts mit mehr als 50 Treffern/Minute von einer IP-Adresse zur Anmeldeseite gelangen, was auf einen Brute-Force-Anmeldeversuch hinweist.