Sim, claro. O trabalho de um sistema de monitoramento é garantir que os requisitos de negócios estejam sendo atendidos pela infraestrutura de TI, sejam quais forem esses requisitos.
Minha intuição é que não há limite fácil (bem, 65535) para o número de portas que você está monitorando para garantir que elas não se tornem abertas de repente, e que a melhor maneira de obter esse controle seja o controle rigoroso da fonte além de monitoramento do sistema de arquivos strong e agressivo (por exemplo, tripwire) no servidor.
Mas se certas portas que são absolutamente críticas para os negócios nunca são expostas, então sim, por todos os meios, coloque uma verificação específica para isso. Talvez você queira examinar o plug-in NAGIOS negate
, que é fornecido com a maioria das distribuições principais, e é usado para fazer exatamente o que você sugere.