この Playbook では、ModSec によって検出された複数の IP からのログイン ページでのブルートフォース試行のインシデントを調査するための体系的な修復手順について説明します。イベント条件はModSecポリシー自体で設定でき、ModSecでイベントが作成されるとSplunkでアラートが発生します。

このプレイブックは、ログインページの異常なトラフィックカウントを検出するのに役立ちます。この例では、50 ヒット/分を超える 2 つの連続したバーストは、IP からログイン ページへのものである必要があり、これはブルートフォースによるログイン試行を示します。

IP バーストプレイブックによる ModSec ブルートフォースの開始

1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
2. 移動先 すべて > Flow Designer をクリックし、[ ModSec Bruteforce by IP Burst Playbook] を選択します。
3. (オプション)IP バーストプレイブックフローによる ModSec ブルートフォースのコピーを作成し、必要な変更を加えます。

   Playbook のフローのコピーを作成するには、[ アイコンを選択し、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。

   

4. Playbook をアクティブ化します。
   1. ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
   2. 必要な変更を行った後、コピーしたフローをアクティブ化します。
5. Playbook のトリガー条件:この Playbook は、次の条件が満たされるとトリガーされ、セキュリティインシデントに関連付けられます。
   • [カテゴリ ] は [無許可のアクセス] です。
   • サブカテゴリ は、 ブルートフォースパスワードクラッキングの試行です。