这看起来像一个 QRadar 规则。最好在IBM 开发人员论坛上提问，因为您将有更多的 QRadar 管理员关注它。

话虽如此，如果您有 DMZ，防火墙拒绝是不可避免的。缺陷是很多人只看防火墙拒绝，而不看防火墙许可。否认只是在肯定你希望看到的东西。许可证是真正的危险所在。

对于配置错误的服务：

如果拒绝是相关的错误配置或已知服务，请修复服务或将它们添加到误报列表中。

对于任何非合法服务或恶意网络扫描程序：

创建一个规则，在 X 分钟内捕获超过 X 个防火墙拒绝（这些数字应该让您感到满意）。然后使用该规则将违规源 IP 添加到参考集（例如，将其称为：）Reference Set: Malicious Scanner。最后，创建另一个规则来检查BB:CategoryDefinition: Firewall or ACL Accept（假设您正在记录许可）并检查Reference Set: Malicious Scanner. 当从 中的 IP 记录防火墙许可时Reference Set: Malicious Scanner，应该触发新的攻击。这样，您就可以捕捉到一个已知的可疑 IP 地址成功通过防火墙的时间。

如果您没有记录许可，但正在使用 netflow 数据，请创建一个流规则来检查Reference Set: Malicious Scanner任何未命中 DMZ 网络的流量。这可以帮助您确定 IP 是否设法绕过防火墙。Netflow 数据不如日志准确。

我相信您正在使用 Qradar SIEM。如果您的防火墙放置在 DMZ 上，这只是正常事件。但这取决于您的分析，如果有问题的 IP 查询多个端口 100 次，那显然是端口扫描。但如果它只涉及 1 或 2 个端口，那么您的防火墙可能配置错误。

我的规则是Firewall or ACL Denies with the same source IP more than 100 times, across exactly 1 destination IP within 5 minutes.

我认为如果全部是防火墙拒绝就没有风险，它已经被缓解了。攻击者无法绕过这一点，但您还应该确保可以检测到来自 IPS/WAF 的攻击尝试。那时您应该在防火墙端阻止有问题的 IP。

外围攻击很容易控制，因为您只在 DMZ 防火墙上指定允许的端口，例如 80 或 443。如果您还通过部署 EDR/端点保护来监控 DMZ 服务器/端点，那就更好了。（纵深防御/分层保护）

我认为与其增加时间框架，不如增加对面向公众的 IP 的点击次数。这样你就可以获得可持续的进攻。

稍后你可以为恶意 IP 创建一个参考集，并可以创建一个规则来检查你的任何内部 IP 是否正在尝试与它们通信。