Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents von Brute-Force-Versuchen auf den Anmeldeseiten von mehreren von ModSec erkannten IPs. Die Ereignisbedingungen können in der ModSec-Richtlinie selbst festgelegt werden und löst eine Warnung in Splunk aus, wenn das Ereignis in ModSec erstellt wird.

Dieses Playbook hilft bei der Erkennung abnormaler Datenverkehrsanzahlen auf der Anmeldeseite. In diesem Beispiel sollten zwei aufeinanderfolgende Bursts von mehr als 50 Treffern/Minute von einer IP-Adresse zur Anmeldeseite stammen, was auf einen Brute-Force-Versuch hinweist, sich anzumelden.