Watcherで連続データに対する検知をする方法

認証ログなどで、特定アカウントでログイン認証が連続で3回失敗した場合にアラートを発報するという仕組みをwatcherで実装したいです。

例) 発報する場合
UserA OK
UserB NG
UserC OK
UserB NG
UserB NG
→発報あり(UserBは3回連続して失敗しているため)

例)発報なし
UserA OK
UserB NG
UserC OK
UserB NG
UserB OK
UserB NG
→発報なし(UserBは3回失敗しているが、連続ではないため)

例)発報なし
UserA OK
UserB NG
UserC NG
UserB NG
UserB OK
UserB OK
→発報なし(NGは3回連続だが、ユーザーが異なるため)

Wathcerでこのような条件は実装可能でしょうか?Watcherに閉じなくとも、Ingestノードを使用すれば出来るというのでも良いです。
ご教示頂けないでしょうか。

@t-nakata さん、

Watcher でなくて良いのであれば、最近だと Elastic Security の検知ルールとして実装する方がこの手の検知は簡単に実装できます。

単純に一定時間内におけるログイン失敗回数で判定するなら Threshold、ご質問のように、成功せず失敗の連続を検知したいのであれば EQL が適切かと思います。

同様の質問があったのでご参考にしてください。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.