Hola,
estoy tratando de crear una alarma con el objetivo de notificar cuando se está accediendo a una ip supuestamente maliciosa pero no consigo dar con la solución.
Descripcion del escenario:
- Tengo un indice (index_zeek) con informanción de las conexiones de red obtenidas a través de Zeek. En este indice hay dos campos relevantes:
campo1: id.orig_h
campo2: id.resp_h
- Por otro lado tengo otro indice (index_intel) que se va actulizando cada horas con información de las ip de reputación, donde en este indice el campo de interesa es:
campo3: source.ip
Objetivo
1.- Quiero comparar los campos (campo1 y campo2) del indice (index_zeek) con el campo (campo3) del indice (index_intel)
2.- Si se producen dos coincidencias igules, se debe disparar el evento
3.- La comparación, al ser un indice (index_zeek) en tiempo real, debe estar continuamente comparando los datos.
4.- El evento que debe generar es:
4.1.- Entrada de log con la informacion del campo (campo1, campo2 y campo3).
4.4.- Correo electrónico con la informacion anterior.
saludos.
Gracias de antemano por la ayuda