Home
  •  

Warnregel für Malware-Bereinigung

Microsoft.FEP.MalwareCleanedAlertRule (Rule)

Generiert eine Warnung, wenn der Microsoft Forefront Endpoint Protection-Client über eine bereinigte Malware berichtet hat.

Knowledge Base article:

Zusammenfassung

Mit dieser Regel werden erfolgreiche Malwarebereinigungsvorgänge nachverfolgt.

Konfiguration

Es wird empfohlen, die Regel mit der Standardkonfiguration aktiviert zu lassen.

Gründe

Mit dieser Regel wird eine Informationswarnung generiert, wenn der Client meldet, dass er Malware bereinigt hat.

Element properties:

TargetMicrosoft.FEP.ProtectedServer
CategoryCustom
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityLow
RemotableTrue
Alert Message
Bereinigte Malware
Forefront Endpoint Protection hat Malware erkannt und auf "{0}" bereinigt. Keine weitere Aktion erforderlich.

Malware-Details:
Erkennungszeit (GMT): {1}
Bedrohungsname: {2}
Bedrohungsort: {3}
Weitere Informationen: {4}
Schadsoftware-Schweregrad: {5}
Kategorie: {6}

Member Modules:

ID Module Type TypeId RunAs 
EventsDS DataSource Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.FEP.MalwareCleanedAlertRule" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Custom</Category>

  <DataSources>

    <DataSource ID="EventsDS" TypeID="FEPLibrary!Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS"/>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>0</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.FEP.MalwareCleanedAlertRule.Alert"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Property[Type="FEPLibrary!Microsoft.FEP.ProtectedServer"]/ServerId$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[4]$</AlertParameter2>

        <!-- Detection Time -->

        <AlertParameter3>$Data/Params/Param[8]$</AlertParameter3>

        <!-- Threat Name -->

        <AlertParameter4>$Data/Params/Param[22]$</AlertParameter4>

        <!-- Path -->

        <AlertParameter5>$Data/Params/Param[13]$</AlertParameter5>

        <!-- FW Link -->

        <AlertParameter6>$Data/Params/Param[10]$</AlertParameter6>

        <!-- Severity -->

        <AlertParameter7>$Data/Params/Param[12]$</AlertParameter7>

        <!-- Category -->

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[8]$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>