IP バーストによる ModSec ブルートフォースプレイブックを使用する

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • このプレイブックを使用して、ModSec によって検出された複数の IP からのログインページでのブルートフォース試行のインシデントを調査します。以下に示すステップは、IP バーストによる ModSec ブルートフォースプレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、ソース IP が顧客に属しているのか、組織の内部 IP アドレスに属しているのかを確認します。
    2. アクション 2 では、ソース IP が顧客または組織の内部 IP アドレスに属している場合に、次の手順を実行します。
      図 : 1. IP バーストによる ModSec ブルートフォースプレイブック
      ソース IP が顧客または組織の内部 IP アドレスに属している場合の応答タスク。
      1. アクション 3 では、疑わしいアクティビティがあったかどうかを確認します。
        • 過去数日間のソース IP からのアクティビティを確認します。IP のトラフィックがごくわずかである場合は、実際の攻撃を示しています。
        • スプレーのユーザー名を確認します。たとえば、ユーザー名がアルファベット順に並んでいるかどうかを確認します。
        • 関連する汎用アカウント名を探します。たとえば、admin、sysadmin、root、administrator、およびその他のアプリケーションアカウント名です。

        不審なアクティビティがない場合、フローは終了します。

      2. ステップ 4 では、不審なアクティビティがあった場合に、アクション 5 で、インスタンスのアクセス履歴とユーザー名が本物に見えるかどうかを確認します。

        Appnode ログに障害の兆候がないか確認します。SAML、SSO、または LDAP 障害イベントが発生する可能性があります。これは運用上の問題が原因である可能性があります。

        インスタンスのアクセス履歴とユーザー名が本物に見えない場合、フローは終了します。
      3. アクション 6 では、インスタンスのアクセス履歴とユーザー名が本物に見える場合に、次の手順を実行します。
        1. アクション 7 では、適切なチームと連携して問題を解決します。
        2. アクション 8 では、これまでの結果を文書化します。
        3. アクション 9 では、タスクをクローズする前にインシデントの事後レビューを完了します。

          アクション 10 で、フローは終了します。

    3. ソース IP が顧客または組織の内部 IP アドレスに属していない場合は、アクション 11 で、ソース IP をブロックする IT サポートチケットを発行します。
      図 : 2. IP バーストによる ModSec ブルートフォースプレイブックの使用
      ソース IP が顧客または組織の内部 IP アドレスに属していない場合の応答タスク。
    4. アクション 12 では、侵害された可能性のある認証情報をリセットします。
    5. アクション 13 では、侵害されたホストシステムへのネットワークアクセスをブロックします。
    6. アクション 14 では、影響を受けるデバイスにパッチを適用します。
    7. アクション 15 では、封じ込めを解除し、システムを運用標準に戻します。
    8. アクション 16 では、タスクをクローズする前にインシデントの事後レビューを完了します。