Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents mit Brute-Force-Versuchen auf den Anmeldeseiten mehrerer von ModSec erkannter IPs. Die Ereignisbedingungen können in der ModSec-Richtlinie selbst festgelegt werden und lösen eine Warnung bei Splunk aus, wenn das Ereignis bei ModSec erstellt wird.

Dieses Playbook hilft bei der Erkennung von abnormalem Datenverkehr auf der Anmeldeseite. In diesem Beispiel sollten zwei aufeinanderfolgende Bursts mit mehr als 50 Treffern/Minute von einer IP an die Anmeldeseite gesendet werden, was auf einen Brute-Force-Anmeldeversuch hinweist.