# Wazuh Denoising

\[Rule 510\]: Trojaned version of file detected (/bin/diff)

Lösung: - Copy https://github.com/ossec/ossec-hids/blob/master/src/rootcheck/db/rootkit\_trojans.txt to /var/ossec/etc/shared/ on your hub server. - upgrade from source out of master Weitere Informationen: [https://github.com/ossec/ossec-hids/issues/2020](https://github.com/ossec/ossec-hids/issues/2020)

\[Rule 92213\]: Executable file dropped in folder commonly used by malware (cleanmgr.exe)

Lösung: Erstellen/erweitern der overwrites-custom-warnings.xml mit folgenden Inhalt (ggf. Rule ID anpassen): ``` 92204 C:\\\\Windows\\\\system32\\\\sdiagnhost\.exe no_full_log CleanMGR - Downlevel Info ```

\[Rule 510\]: Host-based anomaly detection event (/var/lib/docker/overlay2 und /var/lib/docker/volume)

Anpassen der Konfigurationsdatei im Bereich Rootcheck, anschließend Manager neu starten: ``` /var/lib/docker/overlay2/ /var/lib/docker/volume/ ```

Keine Vulnerability detects für Ubuntu 22.04

Hinzufügen zu der Konfiguration im Abschnitt Vulnerability-detector / Provider Canonical - anschließend speichern und Manager neustarten: ``` jammy ```

\[Rule: 92201\]: powershell.exe created a new scripting file under Windows Temp or User data folder (PSPolicyScript)

Lösung: Erstellen/erweitern der overwrites-custom-warnings.xml mit folgenden Inhalt (ggf. Rule ID anpassen): ``` 92213 C:\\\\Windows\\\\system32\\\\wsmprovhost.exe AppData\\\\Local\\\\Temp\\\\__PSScriptPolicyTest_* PSScript PolicyTest ignorieren ``` Quelle: https://www.reddit.com/r/Wazuh/comments/174enng/create\_exclusion\_for\_false\_positive/?rdt=50834