このプレイブックでは、ModSec によって検出された複数の IP からのログインページでのブルートフォース試行のインシデントを調査するための、体系的な修復手順について説明します。イベント条件は ModSec ポリシー自体で設定でき、ModSec でイベントが作成されると Splunk でアラートが発生します。

このプレイブックは、ログインページの異常なトラフィックカウントを検出するのに役立ちます。この例では、50 ヒット/分を超える 2 つの連続したバーストは、1 つの IP からログインページに対するものであり、これはブルートフォースによるログイン試行を示します。