Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents de tentatives par force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les conditions de l’événement peuvent être définies au niveau de la politique de sécurité Mod elle-même et déclenchent une alerte au niveau de Splunk lorsque l’événement est créé à l’heure de sécurité mod.

Ce playbook permet de détecter les nombres anormaux de trafic sur la page de connexion. Dans cet exemple, deux rafales successives de plus de 50 accès/minute doivent être effectuées à partir d’une adresse IP vers la page de connexion, ce qui indique une tentative de connexion par force brute.