Verwenden Sie das ModSec Brute Force by IP Burst-Playbook

  • Freigeben Version: Washingtondc
  • Aktualisiert 5. Januar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents von Brute-Force-Versuchen auf den Anmeldeseiten von mehreren von ModSec erkannten IPs zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „ModSec Brute Force by IP Burst“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, überprüfen Sie in Aktion 1, ob die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation (Aktion 1)gehört.
    2. Wenn die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation gehört, führen Sie in Aktion 2 die folgenden Schritte aus:
      Abbildung : 1. ModSec-Brute-Force nach IP-Burst-Playbook
      Antwortaufgaben, wenn die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation gehört.
      1. Überprüfen Sie in Aktion 3, ob verdächtige Aktivitäten aufgetreten sind.
        • Überprüfen Sie die Aktivität der Quell-IP in den letzten Tagen. Wenn die IP-Adresse vernachlässigbaren Datenverkehr aufwies, weist dies auf einen tatsächlichen Angriff hin.
        • Überprüfen Sie die Benutzernamen für die Anwendung. Überprüfen Sie beispielsweise, ob die Benutzernamen in alphabetischer Reihenfolge angeordnet sind.
        • Suchen Sie nach beteiligten generischen Kontonamen. Zum Beispiel admin, sysadmin, root, Administrator und andere Anwendungskontonamen.

        Wenn keine verdächtigen Aktivitäten vorhanden sind, wird der Flow beendet.

      2. Wenn in Aktion 4 verdächtige Aktivitäten aufgetreten sind, überprüfen Sie in Aktion 5, ob der Instanzzugriffsverlauf und der Benutzername echt aussehen.

        Überprüfen Sie die Protokolle Appnode auf Fehler. Es kann SAML-, SSO- oder LDAP-Fehlerereignisse geben, die auf ein Betriebsproblem zurückzuführen sein können.

        Wenn der Instanzzugriffsverlauf und der Benutzername nicht korrekt aussehen, wird der Flow beendet.
      3. Wenn in Aktion 6 der Instanzzugriffsverlauf und der Benutzername korrekt aussehen, führen Sie die folgenden Schritte aus:
        1. Koordinieren Sie in Aktion 7 das Problem mit dem entsprechenden Team, um das Problem zu beheben.
        2. Dokumentieren Sie in Aktion 8 die bisherigen Ergebnisse.
        3. Schließen Sie in Aktion 9 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.

          In Aktion 10 endet der Flow.

    3. Wenn die Quell-IP nicht zu einem Kunden oder zur internen IP-Adresse der Organisation gehört, erstellen Sie in Aktion 11 ein IT-Supportticket, um die Quell-IPs zu blockieren.
      Abbildung : 2. Verwenden des ModSec Brute Force by IP Burst-Playbooks
      Antwortaufgaben, wenn die Quell-IP nicht zu einem Kunden oder zur internen IP-Adresse der Organisation gehört.
    4. Setzen Sie in Aktion 12 die potenziell gefährdeten Anmeldeinformationen zurück.
    5. Blockieren Sie in Aktion 13 den Netzwerkzugriff auf gefährdete Hostsysteme.
    6. Patchen Sie in Aktion 14 die betroffenen Geräte.
    7. Heben Sie in Aktion 15 die Eindämmung auf, und bringen Sie die Systeme wieder in den Betriebszustand.
    8. Schließen Sie in Aktion 16 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.