DATAZONE Control

Deutsch

English

Deutsch

English

Appearance

Wazuh Alert Whitelist

Die Whitelist-Funktion ermöglicht es, bekannte False-Positive Wazuh-Alerts direkt aus der UI heraus zu unterdrücken.

Funktionsweise

  1. Alert whitelisten: Im Security-Tab einen Alert aufklappen und auf "Whitelist" klicken
  2. Scope wählen: Gesamte Regel, Regel + Textmuster, oder Regel + bestimmter Agent
  3. Sofortiger Effekt: Der Alert wird sofort aus der Anzeige gefiltert
  4. An Wazuh übermitteln: Im Whitelist-Tab auf "An Wazuh übermitteln" klicken für permanente Unterdrückung

Scope-Optionen

ScopeBeschreibungBeispiel
Gesamte RegelUnterdrückt alle Alerts mit dieser Rule IDRule 510 komplett unterdrücken
Regel + TextmusterUnterdrückt nur wenn ein bestimmter Text im Log vorkommtRule 510 nur wenn "TacticalAgent" im Log
Regel + AgentUnterdrückt nur für einen bestimmten Agent/HostRule 510 nur auf SRV07

Whitelist-Tab

Im Security-Bereich jedes Moduls gibt es einen "Whitelist" Tab, der alle aktiven Whitelist-Regeln anzeigt:

  • Original-Regel: Die unterdrückte Rule ID und Beschreibung
  • Scope: Art der Unterdrückung
  • Status: Grün = an Wazuh übermittelt, Gelb = nur lokal gespeichert
  • Löschen: Einzelne Regeln entfernen

An Wazuh übermitteln

Wenn Regeln erstellt oder gelöscht werden, erscheint ein gelber Banner:

"X Regel(n) noch nicht an Wazuh übermittelt"

Klicke auf "An Wazuh übermitteln" um:

  1. Die local_rules.xml in Wazuh zu aktualisieren
  2. Den Wazuh Manager neu zu starten
  3. Ab dann werden die Alerts gar nicht mehr generiert

Tipp

Du kannst mehrere Regeln in Ruhe erstellen und dann einmal gesammelt übermitteln. So wird der Wazuh Manager nur einmal neu gestartet.

Technischer Hintergrund

Die Whitelist-Funktion nutzt Wazuh Custom Rules mit level="0":

xml
<rule id="100100" level="0">
  <if_sid>510</if_sid>
  <match>TacticalAgent</match>
  <description>Suppressed: Rule 510 matching 'TacticalAgent'</description>
</rule>
  • Regeln mit Level 0 werden nicht geloggt (log_alert_level=5)
  • Die Regeln werden in local_rules.xml auf dem Wazuh Manager gespeichert
  • Die DATAZONE Datenbank ist die Single Source of Truth

DATAZONE Control Documentation

Copyright © 2024-2026 DATAZONE