elasticsearch - 在ELK SIEM中检测到端口扫描后，在防火墙上阻止地址

我正在使用 flex 堆栈SIEM，我想知道是否存在与防火墙交互的解决方案。
因此，在SIEM检测到端口扫描程序之后，我希望它在防火墙中自动添加一条规则并阻止该IP地址。
感谢您的回答。

最佳答案

如果您拥有许可证，则可以为此使用警报。
警报允许在检测到时调用Web服务。
然后，您可以 call 防火墙，或 call 微服务以 call 防火墙或更新黑名单。
您可以在此处查看引用:
https://www.elastic.co/guide/en/elasticsearch/reference/current/actions-webhook.html

关于elasticsearch - 在ELK SIEM中检测到端口扫描后，在防火墙上阻止地址，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/64676427/