Utiliser le playbook ModSec Brute force by IP Burst

  • Rversion finale: Washingtondc
  • Mis à jour 5 janv. 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de tentatives de force brute sur les pages de connexion à partir de plusieurs adresses IP détectées par ModSec. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook ModSec Brute force by IP Burst.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation (action 1).
    2. Dans l’Action 2, si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation, procédez comme suit :
      Figure 1. ModSec : force brute par playbook de rafale IP
      Tâches de réponse si l’adresse IP source appartient à un client ou à l’adresse IP interne de l’organisation.
      1. Dans Action 3, vérifiez s’il y a eu des activités suspectes.
        • Vérifiez l’activité à partir de l’adresse IP source au cours des derniers jours. Si l’adresse IP avait un trafic négligeable, cela indique une attaque réelle.
        • Vérifiez les noms d’utilisateur de pulvérisation. Par exemple, vérifiez si les noms d’utilisateur sont classés par ordre alphabétique.
        • Recherchez les noms de compte génériques concernés. Par exemple, administrateur, administrateur système, racine, administrateur et autres noms de comptes d’application.

        S’il n’y a aucune activité suspecte, le flux se termine.

      2. Dans l’Action 4, en cas d’activités suspectes, vérifiez dans l’Action 5 si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques.

        Vérifiez les Appnode journaux pour détecter toute indication de défaillance. Il peut y avoir des événements d’échec SAML, SSO ou LDAP, qui peuvent être dus à un problème opérationnel.

        Si l’historique d’accès à l’instance et le nom d’utilisateur ne semblent pas authentiques, le flux se termine.
      3. Dans l’Action 6, si l’historique d’accès à l’instance et le nom d’utilisateur semblent authentiques, procédez comme suit :
        1. Dans Action 7, coordonnez-vous avec l’équipe appropriée pour résoudre le problème.
        2. Dans Action 8, documentez les résultats obtenus jusqu’à présent.
        3. Dans l’action 9, terminez la revue post-incident avant de fermer la tâche.

          Dans l’action 10, le flux se termine.

    3. Si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’organisation, dans l’action 11, créez un ticket d’assistance informatique pour bloquer les adresses IP source.
      Figure 2. Utilisation du playbook ModSec Brute force by IP Burst
      Tâches de réponse si l’adresse IP source n’appartient pas à un client ou à l’adresse IP interne de l’organisation.
    4. Dans l’action 12, réinitialisez les informations d’identification potentiellement compromises.
    5. Dans l’action 13, bloquez l’accès réseau aux systèmes hôtes compromis.
    6. Dans Action 14, appliquez un correctif aux appareils concernés.
    7. Dans l’action 15, lever le confinement et ramener les systèmes aux normes opérationnelles.
    8. Dans l’Action 16, terminez la revue post-incident avant de fermer la tâche.