IP 버스트별 ModSec 무차별 암호 대입 사용 플레이북

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 ModSec에서 탐지된 여러 IP에서 로그인 페이지에 대한 무차별 대입 시도 인시던트를 조사합니다. 다음 단계에서는 IP 버스트별 ModSec 무차별 대입 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행을 시작하면 작업 1에서 소스 IP가 고객에 속하는지 아니면 조직의 내부 IP 주소에 속하는지 확인합니다.
    2. 작업 2에서 소스 IP가 고객 또는 조직의 내부 IP 주소에 속하는 경우 다음 단계를 수행합니다.
      그림 1. IP 버스트별 ModSec 무차별 암호 대입 공격 플레이북
      소스 IP가 고객 또는 조직의 내부 IP 주소에 속하는 경우의 응답 작업입니다.
      1. 작업 3에서 의심스러운 활동이 있었는지 확인합니다.
        • 지난 며칠 동안의 소스 IP에서 활동을 확인합니다. IP의 트래픽이 무시할 수 있는 경우 실제 공격을 나타냅니다.
        • 스프레이 사용자 이름을 확인하십시오. 예를 들어 사용자 이름이 알파벳 순서로 정렬되어 있는지 확인합니다.
        • 관련된 일반 계정 이름을 찾으십시오. 예를 들어 관리자, 시스템 관리자, 루트, 관리자 및 기타 애플리케이션 계정 이름이 있습니다.

        의심스러운 활동이 없으면 플로우가 종료됩니다.

      2. 작업 4에서 의심스러운 활동이 있었다면 작업 5에서 인스턴스 액세스 이력과 사용자 이름이 진짜인지 확인합니다.

        로그에서 Appnode 실패 징후가 있는지 확인합니다. 운영 문제로 인해 SAML, SSO 또는 LDAP 실패 이벤트가 있을 수 있습니다.

        인스턴스 액세스 이력과 사용자 이름이 진짜가 아닌 것으로 보이면 플로우가 종료됩니다.
      3. 작업 6에서 인스턴스 액세스 이력과 사용자 이름이 정짜로 보이면 다음 단계를 수행하십시오.
        1. 작업 7에서는 적절한 팀과 조정하여 문제를 해결합니다.
        2. 작업 8에서는 지금까지의 결과를 문서화합니다.
        3. 작업 9에서 사후 인시던트 검토를 완료한 후 작업을 종결하십시오.

          작업 10에서는 플로우가 종료됩니다.

    3. 원본 IP가 고객 또는 조직의 내부 IP 주소에 속하지 않는 경우 작업 11에서 IT 지원 티켓을 제기하여 원본 IP를 차단합니다.
      그림 2. IP 버스트별 ModSec 무차별 암호 대입 사용 플레이북
      소스 IP가 고객 또는 조직의 내부 IP 주소에 속하지 않는 경우의 응답 작업입니다.
    4. 작업 12에서 잠재적으로 손상된 자격 증명을 재설정하십시오.
    5. 작업 13에서는 손상된 호스트 시스템에 대한 네트워크 액세스를 차단합니다.
    6. 작업 14에서 영향을 받는 장치에 패치를 적용합니다.
    7. 작업 15에서는 격리를 해제하고 시스템을 작동 표준으로 되돌립니다.
    8. 작업 16에서 작업을 종결하기 전에 사후 인시던트 검토를 완료하십시오.