我使用 elastalert 从弹性搜索数据发出警报,我想为来自外部地址的网络和端口扫描添加警报。在我的弹性搜索集群中,我有显示从 Internet 地址到我的公司面向 Internet 的设备 IP 地址的连接的防火墙数据。我想检测并提醒正在扫描我的 IP 的 IP,并将其基于目标对象的某个最低阈值。例如,阈值可以是 5 分钟内扫描的主机或 TCP/UDP 端口的最少“X”个。
这样的查询可能吗?如果是这样,请告知我如何构建一个 elastalert 过滤器来做到这一点。
更新:我想知道这里描述的方法是否可以用来解决这个问题? 如何设置过滤器在聚合值达到某个阈值时返回?