我正在使用弹性堆栈siem,我想知道是否有一个解决方案与我的防火墙交互。所以在siem检测到一个端口扫描器之后,我想它会自动在我的防火墙中添加一个规则,并阻止这个ip地址。谢谢你的回答。
1zmg4dgp1#
如果您有许可证,您可以为此使用警报。警报允许在检测时调用web服务。然后你可以打电话给你的防火墙,或者打一个微服务来打电话给你的防火墙或者更新你的黑名单。您可以在这里看到参考资料:https://www.elastic.co/guide/en/elasticsearch/reference/current/actions-webhook.html
1条答案
按热度按时间1zmg4dgp1#
如果您有许可证,您可以为此使用警报。警报允许在检测时调用web服务。
然后你可以打电话给你的防火墙,或者打一个微服务来打电话给你的防火墙或者更新你的黑名单。
您可以在这里看到参考资料:https://www.elastic.co/guide/en/elasticsearch/reference/current/actions-webhook.html