elasticsearch - 在 ELK SIEM 中检测端口扫描后在防火墙上阻止地址 IP
问题描述
我正在使用弹性堆栈 SIEM,我想知道是否有与我的防火墙交互的解决方案。所以在那之后 SIEM 检测到一个端口扫描器,我希望它在我的防火墙中自动添加一个规则并阻止该 IP 地址。
感谢您的回答。
解决方案
如果您有许可证,则可以为此使用警报。警报允许在检测时调用 Web 服务。
然后你可以调用你的防火墙,或者调用一个微服务来调用你的防火墙或更新你的黑名单。
您可以在此处查看参考: https ://www.elastic.co/guide/en/elasticsearch/reference/current/actions-webhook.html
推荐阅读
- php - PHP 无法下载超过 40MB 的重量文件
- string - Bash 用 grep 提取字符串
- python - 如何检索前 3 个月的第一个和最后一个日期?
- jdbc - 是否可以通过 SSH 隧道使用 Apache Beam jdbcIO?
- perl - 如何使用 perl 正确解析我的 txt 文件中的行
- javascript - Three.js 错误 --> THREE.Scene 不是构造函数
- java - 解锁锁定同步块的可靠方法
- matlab - 检查边界内的值
- javascript - 如何为表格内开始时间和结束时间之间的剩余时间创建实时倒计时效果?
- reactjs - React Native - 是否可以控制 ScrollView 滚动的速度