Я знаю, что многие люди используют Kibana для сбора журналов безопасности, но загружаете ли вы их в какие-либо IDS, чтобы ловить подозрительные и оповещать о них?Если да, то какие IDS вы используете?
Я не слежу за этим, но журналы IDS читаются с помощью filebeat / logstash, отправляются и индексируются в Elasticsearch, который затем вы можете использовать Kibana (GUI), где вы можете запрашивать индексированные данные, делать визуализации и dashbaords.
Elastics Kibana может иметь настройки оповещения с учетом заданных вами параметров.https://www.elastic.co/products/stack/alerting И у вас также есть пороги и условия.https://www.elastic.co/guide/en/kibana/current/watcher-create-threshold-alert.html