이 플레이북은 ModSec에서 탐지한 여러 IP의 로그인 페이지에서 무차별 암호 대입 공격 시도 인시던트를 조사하기 위한 체계적인 정정 단계를 제공합니다. 이벤트 조건은 ModSec 정책 자체에서 설정할 수 있으며 ModSec에서 이벤트가 생성되면 Splunk에서 경보가 발생합니다.

이 플레이북은 로그인 페이지에서 비정상적인 트래픽 수를 감지하는 데 도움이 됩니다. 이 예에서는 IP에서 로그인 페이지까지 분당 50회 이상의 연속 버스트가 두 번 연속으로 발생해야 하며, 이는 무차별 암호 대입 로그인 시도를 나타냅니다.