Este playbook fornece etapas de correção sistemáticas para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As condições do evento podem ser definidas na própria política do ModSec e gerarão um alerta no Splunk quando o evento for criado no ModSec.

Este playbook ajuda a detectar contagens anormais de tráfego na página de login. Duas explosões sucessivas de mais de 50 acessos/minuto devem ser de um IP para a página de login, o que indica uma tentativa de força bruta de fazer login.