Este playbook fornece etapas de correção sistemática para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As condições do evento podem ser definidas na própria política do ModSec e gerarão um alerta no Splunk quando o evento for criado no ModSec.

Este playbook ajuda a detectar contagens de tráfego anormais na página de login. Neste exemplo, duas rajadas sucessivas de mais de 50 ocorrências/minuto devem ser de um IP para a página de login, o que indica uma tentativa de força bruta para fazer login.