使用SPL splunk规则检测端口扫描



我是splunk语言的新用户,我正在尝试检测从源ip地址到目标ip地址的100多个特定端口(20,21,23,80,443)的扫描它没有给我任何结果,尽管我确信有与此搜索对应的结果。

我创建了如下规则:

<<p>

指数=网络/em>| stats dc(destination_port) as number_destination_port by source_ip

| where (number_destination_port>100 AND destination_port IN (20, 21, 23, 80, 443))

我知道问题来自where子句的第二个条件,你能给我一些建议,如何纠正这个警告,甚至改进它吗?

这就是我要检测的:端口扫描检测

where命令的第二个子句使用IN操作符,该操作符仅对searchtstats命令可用。请使用in()函数。

index=network
| stats dc(destination_port) as number_destination_port by source_ip destination_ip
| where (number_destination_port>100 AND in(destination_port, 20, 21, 23, 80, 443))

相关内容

  • 没有找到相关文章

最新更新