Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents de tentatives de force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les conditions d’événement peuvent être définies au niveau de la politique ModSec elle-même et déclencheront une alerte chez Splunk lorsque l’événement est créé au niveau de ModSec.

Ce playbook permet de détecter les nombres de trafic anormaux sur la page de connexion. Dans cet exemple, deux rafales successives de plus de 50 occurrences/minute devraient provenir d’une adresse IP vers la page de connexion, ce qui indique une tentative de connexion par force brute.