이 플레이북은 ModSec에서 탐지한 여러 IP의 로그인 페이지에 대한 무차별 암호 대입 공격 인시던트를 조사하기 위한 체계적인 해결 단계를 제공합니다. 이벤트 조건은 ModSec 정책 자체에서 설정할 수 있으며 ModSec에서 이벤트가 생성될 때 Splunk에서 경보를 발생시킵니다.

이 플레이북은 로그인 페이지에서 비정상적인 트래픽 수를 탐지하는 데 도움이 됩니다. 이 예에서는 IP에서 로그인 페이지로 50회 이상의 연속 버스트가 두 번 연속으로 발생해야 하며, 이는 무차별 암호 대입 로그인 시도를 나타냅니다.