IP バーストプレイブックによる ModSec ブルートフォースの使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • このプレイブックを使用して、ModSec によって検出された複数の IP からのログインページでのブルートフォース試行のインシデントを調査します。次の手順では、ModSec ブルートフォース by IP バースト Playbook で使用できるアクション、タスク、およびサブフローのウォークスルーを示します。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で、ソース IP が顧客に属しているのか、組織の内部 IP アドレスに属しているのかを確認する必要があります。
    2. ステップ 2 で、ソース IP が顧客または組織の内部 IP アドレスに属している場合は、次の手順を実行します。
      図 : 1. IP バーストプレイブックによる ModSec 総当たり攻撃
      ソース IP が顧客または組織の内部 IP アドレスに属している場合の応答タスク。
      1. ステップ3では、疑わしいアクティビティがあったかどうかを確認する必要があります。
        • 過去数日間のソース IP からのアクティビティを確認します。IPのトラフィックがごくわずかである場合は、実際の攻撃を示しています。
        • スプレーのユーザー名を確認してください。たとえば、ユーザー名がアルファベット順に並べられているかどうかを確認します。
        • 関連する汎用アカウント名を探します。たとえば、admin、sysadmin、root、管理者、およびその他のアプリケーションアカウントの名前です。

        不審なアクティビティがない場合、フローは終了します。

      2. ステップ 4 で不審なアクティビティがあった場合、ステップ 5 でインスタンスのアクセス履歴とユーザー名が本物かどうかを確認する必要があります。

        ログに Appnode 障害の兆候がないか確認します。SAML、SSO、または LDAP 失敗イベントが発生する可能性があります。これは運用上の問題が原因である可能性があります。

        ステップ 6 で、インスタンスのアクセス履歴とユーザー名が本物に見えない場合、フローは終了します。
      3. インスタンスのアクセス履歴とユーザー名が本物と思われる場合は、次のステップを実行します。
        1. ステップ 7 では、適切なチームと調整して問題を解決する必要があります。
        2. ステップ 8 では、これまでの調査結果を文書化する必要があります。
        3. ステップ 9 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。

          ステップ 10 で、フローは終了します。

    3. ソース IP が顧客または組織の内部 IP アドレスに属していない場合は、手順 11 で、ソース IP をブロックする IT サポート チケットを作成する必要があります。
      図 : 2. IP バーストプレイブックによる ModSec ブルートフォースの使用
      ソース IP が顧客または組織の内部 IP アドレスに属していない場合の応答タスク。
    4. ステップ 12 では、侵害された可能性のある資格情報をリセットする必要があります。
    5. 手順 13 では、侵害されたホスト システムへのネットワーク アクセスをブロックする必要があります。
    6. ステップ14では、影響を受けるデバイスにパッチを適用する必要があります。
    7. ステップ 15 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
    8. ステップ 16 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。