我使用elastalert来提醒来自elasticsearch数据,我想从外部地址添加网络和端口扫描警报。在我的elasticsearch集群中,我有防火墙数据,显示从Internet地址到面向设备IP地址的企业Internet的连接。我想检测并警告正在扫描我的IP的IP并将其基于目标的最小阈值。例如,阈值可以是5分钟内扫描的主机或TCP / UDP端口的最小“X”数。
这样的查询可能吗?如果是这样,请告诉我如何构建一个弹性过滤器来做到这一点。
更新:我想知道这里描述的方法是否可以用来解决这个问题? How to set up percolator to return when an aggregation value hits a certain threshold?