Ce playbook fournit des étapes de remédiation systématiques pour enquêter sur les incidents de tentatives de force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les conditions de l’événement peuvent être définies dans la politique ModSec elle-même et déclencheront une alerte dans Splunk lorsque l’événement sera créé sur ModSec.

Ce playbook permet de détecter les nombres anormaux de trafic sur la page de connexion. Dans cet exemple, deux rafales successives de plus de 50 coups/minute devraient être d’une adresse IP vers la page de connexion, ce qui indique une tentative de connexion par force brute.