Configurar força bruta do ModSec por playbook de rajada de IP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use as etapas a seguir para configurar a força bruta do ModSec por playbook de rajada de IP.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

    Procedimento

    1. Faça login como um usuário com as funções sn_si.user e flow_designer.
    2. Navegar até Todos > Flow Designer e selecione o playbook ModSec Bruteforce by IP Burst.
    3. Crie uma cópia do fluxo do playbook de força bruta do ModSec por rajada de IP e faça as modificações necessárias.

      Para criar uma cópia do fluxo do playbook, selecione o ícone de menu Mais ações e selecione Copiar fluxo. Execute esta etapa somente se você planejar personalizar ou fazer mudanças específicas no fluxo.

      Figura 1. Força bruta do ModSec por playbook de rajada de IP
      Visão geral do playbook de força bruta do ModSec por rajada de IP.
    4. Ative os playbooks.
      1. Ative o fluxo principal para usar o playbook disponível no sistema de base.
      2. Ative os fluxos copiados depois de fazer as mudanças necessárias.
    5. Condição do gatilho para o playbook: este playbook é acionado e associado ao incidente de segurança quando as seguintes condições são atendidas:
      • Acategoria é Acesso não autorizado.
      • A subcategoria é Tentativas de quebra de senha de força bruta.
      Figura 2. Condição do gatilho do playbook de força bruta do ModSec por estouro de IP
      Condição do gatilho para força bruta do ModSec por playbook de rajada de IP.