所以我试图在 ElastAlert 中设置一个黑名单,但正在努力解决通配符匹配问题。
最终目标是让我拥有一个用域填充的文件。然后,ElastAlert 规则会读取此黑名单文件,并在任何域(包括子域)被击中时提醒我。
到目前为止,我让它与文件中列出的域完全匹配。(即evil-domain.com)
但是,我无法以相同的方式匹配子域,例如www.evil-domain.com
我在文件中尝试了许多不同的通配符匹配,例如:
*evil-domain.com/.+evil-domian.com//*evil-domain.com/
但是它们都不起作用,或者至少我还没有设法让它们起作用。
在 ElastAlert 中是否可以使用这样的用例,如果可以,如何使用?