我被要求做研究，如何建立一个非常基本的siem与弹性堆栈。我设法用elasticsearch、kibana和beats建立了堆栈，但现在：我如何编写相关规则，比如：如果有人在过去3分钟内10次登录失败-警报。或者如果扫描端口有异常活动（检测nmap活动）-警报。怎么做？只使用免费选项。