Verwenden Sie das ModSec Brute Force by IP Burst-Playbook

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents von Brute-Force-Versuchen auf den Anmeldeseiten von mehreren von ModSec erkannten IPs zu untersuchen. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im ModSec Brute Force by IP Burst-Playbook verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, überprüfen Sie in Aktion 1, ob die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation gehört.
    2. Führen Sie in Aktion 2 die folgenden Schritte aus, wenn die Quell-IP zu einem Kunden oder zur internen IP-Adresse der Organisation gehört:
      Abbildung : 1. ModSec-Brute-Force nach IP-Burst-Playbook
      Antwortaufgaben, wenn die Quell-IP zu einem Kunden oder der internen IP-Adresse der Organisation gehört.
      1. Überprüfen Sie in Aktion 3, ob verdächtige Aktivitäten vorhanden sind.
        • Überprüfen Sie die Aktivität der Quell-IP in den letzten Tagen. Wenn die IP vernachlässigbarer Datenverkehr hatte, weist dies auf einen tatsächlichen Angriff hin.
        • Überprüfen Sie die Sprachanwendernamen. Überprüfen Sie beispielsweise, ob die Anwendernamen in alphabetischer Reihenfolge angeordnet sind.
        • Suchen Sie nach generischen Accountnamen, die beteiligt sind. Beispiel: Admin, sysadmin, root, Administrator, und andere Anwendungsaccount-Namen.

        Wenn keine verdächtigen Aktivitäten vorhanden sind, endet der Flow.

      2. Wenn in Aktion 4 verdächtige Aktivitäten aufgetreten sind, überprüfen Sie in Aktion 5, ob der Instanzzugriffsverlauf und der Anwendername echt aussehen.

        Überprüfen Sie AppnodeProtokolliert alle Anzeichen eines Fehlers. Es können SAML-, SSO- oder LDAP-Fehlgeschlagen-Ereignisse vorliegen, die auf ein Betriebsproblem zurückzuführen sein können.

        Wenn der Instanzzugriffsverlauf und der Anwendername nicht authentisch aussehen, endet der Flow.
      3. Wenn in Aktion 6 der Instanzzugriffsverlauf und der Anwendername echt aussehen, führen Sie die folgenden Schritte aus:
        1. Koordinieren Sie sich in Aktion 7 mit dem entsprechenden Team, um das Problem zu beheben.
        2. Dokumentieren Sie in Aktion 8 die bisherigen Ergebnisse.
        3. Schließen Sie in Aktion 9 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.

          In Aktion 10 endet der Flow.

    3. Wenn die Quell-IP nicht zu einem Kunden oder der internen IP-Adresse der Organisation gehört, erstellen Sie in Aktion 11 ein IT-Support-Ticket, um die Quell-IPs zu blockieren.
      Abbildung : 2. Verwenden des ModSec Brute Force by IP Burst-Playbooks
      Antwortaufgaben, wenn die Quell-IP nicht zu einem Kunden oder der internen IP-Adresse der Organisation gehört.
    4. Setzen Sie in Aktion 12 die potenziell gefährdeten Anmeldeinformationen zurück.
    5. Blockieren Sie in Aktion 13 den Netzwerkzugriff auf gefährdete Hostsysteme.
    6. In Aktion 14 patchen Sie die betroffenen Geräte.
    7. Heben Sie in Aktion 15 die Eindämmung auf, und bringen Sie die Systeme wieder auf Betriebsstandards zurück.
    8. Schließen Sie in Aktion 16 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.