Richten Sie das ModSec Brute Force by IP Burst-Playbook ein

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Führen Sie die folgenden Schritte aus, um das ModSec Brute Force by IP Burst-Playbook einzurichten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • Flow_Designer

    Stellen Sie sicher, dass Sie Security Operations Spoke ( sn_sec_Spoke ).

    Prozedur

    1. Melden Sie sich als Anwender mit den Rollen sn_si.user und Flow_Designer an.
    2. Navigieren zu Alle > Flow Designer Und wählen Sie aus ModSec BRuteforce nach IP-Burst playbook.
    3. Wahlweise: Erstellen Sie eine Kopie des ModSec BRuteforce by IP Burst-Playbook-Flows, und nehmen Sie die erforderlichen Änderungen vor.

      Um eine Kopie des Playbook-Flows zu erstellen, wählen Sie das Menüsymbol „weitere Aktionen“ aus ( Menü „weitere Aktionen“) Und auswählen Flow kopieren . Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen vorzunehmen.

      Abbildung : 1. ModSec-Brute-Force nach IP-Burst-Playbook
      Übersicht über das ModSec-Brute-Force-Playbook nach IP-Burst.
    4. Aktivieren Sie die Playbooks.
      1. Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
      2. Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
    5. Legen Sie ein fest Auslöserbedingung Für das Playbook.
      Dieses Playbook wird ausgelöst und dem Security Incident zugeordnet, wenn die folgenden Bedingungen erfüllt sind:
      • Kategorie Ist Nicht autorisierter Zugriff .
      • Unterkategorie Ist Brute-Force-Passwortknackversuche .
      Abbildung : 2. ModSec-Brute-Force nach IP-Burst-Playbook-Auslöserbedingung
      Auslöserbedingung für ModSec-Brute-Force nach IP-Burst-Playbook.