Use o playbook de força bruta do ModSec por IP Burst

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes de tentativas de força bruta nas páginas de login de vários IPs detectados pelo ModSec. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de força bruta do ModSec por IP Burst.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, verifique se o IP de origem pertence a um cliente ou ao endereço IP interno da organização.
    2. Na Ação 2, se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização, execute as seguintes etapas:
      Figura 1. ModSec Brute Force por playbook de IP Burst
      Tarefas de resposta se o IP de origem pertencer a um cliente ou ao endereço IP interno da organização.
      1. Na Ação 3, verifique se houve atividades suspeitas.
        • Verifique a atividade do IP de origem nos últimos dias. Se o IP teve tráfego insignificante, isso indica um ataque real.
        • Verifique os nomes de usuário de pulverização. Por exemplo, verifique se os nomes de usuário estão organizados em ordem alfabética.
        • Procure nomes de conta genéricos envolvidos. Por exemplo, admin, sysadmin, root, administrador, e outros nomes de conta da aplicação.

        Se não houver atividades suspeitas, o fluxo será encerrado.

      2. Na Ação 4, se houver atividades suspeitas, na Ação 5, verifique se o histórico de acesso à instância e o nome de usuário parecem genuínos.

        Verifique Appnoderegistra qualquer indicação de falha. Pode haver eventos de falha SAML, SSO ou LDAP, o que pode ser devido a um problema operacional.

        Se o histórico de acesso da instância e o nome de usuário não forem originais, o fluxo será encerrado.
      3. Na Ação 6, se o histórico de acesso à instância e o nome de usuário forem originais, execute as seguintes etapas:
        1. Na Ação 7, coordene com a equipe apropriada para corrigir o problema.
        2. Na Ação 8, documente as descobertas até agora.
        3. Em Ação 9, conclua a revisão pós-incidente antes de fechar a tarefa.

          Na Ação 10, o fluxo termina.

    3. Se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização, na Ação 11, gere um tíquete de suporte de TI para bloquear os IPs de origem.
      Figura 2. Usando o playbook de força bruta do ModSec por IP Burst
      Tarefas de resposta se o IP de origem não pertencer a um cliente ou ao endereço IP interno da organização.
    4. Em Ação 12, redefina as credenciais potencialmente comprometidas.
    5. Na Ação 13, bloqueie o acesso à rede aos sistemas host comprometidos.
    6. Em Ação 14, corrija os dispositivos afetados.
    7. Na Ação 15, levante a contenção e traga os sistemas de volta aos padrões operacionais.
    8. Em Ação 16, conclua a revisão pós-incidente antes de fechar a tarefa.