Utiliser le playbook ModSec Brute force by IP Burst

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de tentatives de force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook ModSec Brute force by IP Burst.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation.
    2. Dans l’action 2, si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation, procédez comme suit :
      Figure 1. ModSec Brute force par IP Playbook de rafale
      Tâches de réponse si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation.
      1. Dans l’action 3, vérifiez s’il y a eu des activités suspectes.
        • Vérifiez l’activité à partir de l’adresse IP source au cours des derniers jours. Si l’adresse IP avait un trafic négligeable, cela indique une attaque réelle.
        • Vérifiez les noms d’utilisateur de pulvérisation. Par exemple, vérifiez si les noms d’utilisateur sont classés par ordre alphabétique.
        • Recherchez les noms de compte génériques impliqués. Par exemple, admin, sysadmin, root, administrateur et autres noms de compte d’application.

        S’il n’y a pas d’activités suspectes, le flux s’arrête.

      2. Dans l’action 4, s’il y a eu des activités suspectes, dans l’action 5, vérifiez si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques.

        Vérifiez les Appnode journaux pour voir s’il y a des signes de défaillance. Il peut y avoir des événements d’échec SAML, SSO ou LDAP, qui peuvent être dus à un problème opérationnel.

        Si l’historique d’accès à l’instance et le nom d’utilisateur ne semblent pas authentiques, le flux s’arrête.
      3. Dans l’action 6, si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques, procédez comme suit :
        1. Dans l’action 7, communiquez avec l’équipe appropriée pour résoudre le problème.
        2. Dans l’action 8, documentez les résultats obtenus jusqu’à présent.
        3. Dans l’action 9, effectuez l’examen post-incident avant de fermer la tâche.

          Dans l’action 10, le flux s’arrête.

    3. Si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’organisation, lors de l’action 11, créez un ticket d’assistance informatique pour bloquer les adresses IP sources.
      Figure 2. Utilisation du playbook ModSec Brute force by IP Burst
      Tâches de réponse si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’organisation.
    4. Dans l’action 12, réinitialisez les informations d’identification potentiellement compromises.
    5. Dans l’action 13, bloquez l’accès réseau aux systèmes hôtes compromis.
    6. Dans l’action 14, corrigez les appareils affectés.
    7. Dans l’action 15, levez le confinement et ramenez les systèmes aux normes opérationnelles.
    8. Dans l’action 16, effectuez la revue post-incident avant de fermer la tâche.