이 플레이북은 ModSec에 의해 탐지된 여러 IP에서 로그인 페이지에 대한 무차별 대입 시도 인시던트를 조사하기 위한 체계적인 정정 단계를 제공합니다. 이벤트 조건은 ModSec 정책 자체에서 설정할 수 있으며 ModSec에서 이벤트가 생성되면 Splunk에서 경보를 발생시킵니다.

이 플레이북은 로그인 페이지에서 비정상적인 트래픽 수를 탐지하는 데 도움이 됩니다. 이 예에서 분당 50회 이상의 연속 버스트는 IP에서 로그인 페이지로 이루어져야 하며, 이는 무차별 암호 대입 로그인 시도를 나타냅니다.