Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern.
Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden.
{
"geoip": {
"field": "data.dstip",
"target_field": "GeoLocation",
"properties": ["dst_city_name", "dst_country_name", "dst_region_name", "dst_location"],
"ignore_missing": true,
"ignore_failure": true
}
},Danach noch filebeat setup --pipelines --modules wazuh und los gehts …
Es gibt auch noch viel mehr Möglichkeiten, was man damit noch alles machen kann:
https://github.com/branchnetconsulting/wazuh-tools/blob/master/pipeline.json