Configurer le playbook ModSec Brute force by IP Burst

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Suivez les étapes suivantes pour configurer le playbook ModSec Brute force by IP Burst.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tout > Concepteur de flux et sélectionnez le playbook ModSec Bruteforce by IP Burst .
    3. Facultatif : Créez une copie du flux de playbook ModSec Bruteforce par IP Burst et apportez les modifications nécessaires.

      Pour créer une copie du flux du playbook, sélectionnez l’icône du menu Actions supplémentaires (menu Actions supplémentaires), puis sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.

      Figure 1. ModSec Brute force par IP Playbook de rafale
      Vue d’ensemble du playbook ModSec Brute force by IP Burst.
    4. Activez les playbooks.
      1. Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      2. Activez les flux copiés après avoir apporté les changements requis.
    5. Définissez une condition de déclenchement pour le playbook.
      Ce playbook est déclenché et associé à l’incident de sécurité lorsque les conditions suivantes sont remplies :
      • La catégorie est Accès non autorisé.
      • La sous-catégorie est les tentatives de décodage de mot de passe en force brute.
      Figure 2. ModSec Force brute par IP Condition de déclenchement du Playbook en rafale
      Condition de déclenchement pour la force brute ModSec par le playbook de rafale d’adresses IP.