Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents de tentatives de force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les conditions de l’événement peuvent être définies au niveau de la politique ModSec elle-même et déclencheront une alerte sur Splunk lorsque l’événement est créé sur ModSec.

Ce playbook permet de détecter les nombres anormaux de trafic sur la page de connexion. Dans cet exemple, deux rafales successives de plus de 50 accès/minute doivent provenir d’une adresse IP vers la page de connexion, ce qui indique une tentative de connexion par force brute.