이 플레이북을 사용하여 ModSec에서 탐지한 여러 IP의 로그인 페이지에 대한 무차별 암호 대입 공격 인시던트를 조사합니다. 다음 단계에서는 IP 버스트별 ModSec 무차별 암호 대입 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
sn_si.admin
flow_designer
프로시저
플레이북이 트리거되고 실행이 시작되면 작업 1에서 소스 IP가 고객 또는 조직의 내부 IP 주소에 속하는지 확인합니다.
작업 2에서 소스 IP가 고객 또는 조직의 내부 IP 주소에 속하는 경우 다음 단계를 수행합니다.
그림 1. ModSec IP 버스트별 무차별 암호 대입 공격 플레이북
작업 3에서 의심스러운 활동이 있었는지 확인합니다.
지난 며칠 동안 소스 IP에서 활동을 확인합니다. IP에 무시할 수 있는 트래픽이 있는 경우 실제 공격을 나타냅니다.
스프레이 사용자 이름을 확인하십시오. 예를 들어 사용자 이름이 알파벳 순서로 정렬되어 있는지 확인합니다.
관련된 일반 계정 이름을 찾으십시오. 예를 들어 관리자, sysadmin, 루트, 관리자 및 기타 애플리케이션 계정 이름입니다.
의심스러운 활동이 없으면 플로우가 종료됩니다.
작업 4에서 의심스러운 활동이 있는 경우 작업 5에서 인스턴스 액세스 기록과 사용자 이름이 진짜인지 확인합니다.
로그에서 Appnode 실패 징후를 확인합니다. 운영 문제로 인해 SAML, SSO 또는 LDAP 실패 이벤트가 발생할 수 있습니다.
인스턴스 액세스 이력과 사용자 이름이 진짜로 보이지 않으면 플로우가 종료됩니다.
작업 6에서 인스턴스 액세스 기록과 사용자 이름이 정품인 것 같으면 다음 단계를 수행합니다.
작업 7에서 적절한 팀과 협력하여 문제를 해결합니다.
작업 8에서는 지금까지의 결과를 문서화합니다.
작업 9에서 작업을 닫기 전에 사후 인시던트 검토를 완료합니다.
동작 10에서 흐름이 종료됩니다.
원본 IP가 고객 또는 조직의 내부 IP 주소에 속하지 않는 경우 작업 11에서 IT 지원 티켓을 제기하여 원본 IP를 차단합니다.