Regla de alerta de malware limpiado

Microsoft.FEP.MalwareCleanedAlertRule (Rule)

Genera una alerta cuando el cliente Microsoft Forefront Endpoint Protection ha informado sobre una limpieza de malware.

Knowledge Base article:

Resumen

Esta regla realiza un seguimiento de las operaciones de limpieza realizadas correctamente.

Configuración

Se recomienda mantener activada esta regla con la configuración predeterminada.

Causas

Esta regla generará una alerta de información si el cliente notifica que el malware se ha limpiado correctamente.

Element properties:

TargetMicrosoft.FEP.ProtectedServer
CategoryCustom
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityLow
RemotableTrue
Alert Message
Malware limpiado
Forefront Endpoint Protection detectó y limpió malware de '{0}'. No es necesaria ninguna otra medida.

Detalles de malware:
Hora de detección (GTM): {1}
Nombre de la amenaza: {2}
Ubicación de la amenaza: {3}
Más información: {4}
Gravedad de malware: {5}
Categoría: {6}

Member Modules:

ID Module Type TypeId RunAs 
EventsDS DataSource Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.FEP.MalwareCleanedAlertRule" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Custom</Category>
<DataSources>
<DataSource ID="EventsDS" TypeID="FEPLibrary!Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS"/>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">
<Priority>0</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.FEP.MalwareCleanedAlertRule.Alert"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Target/Property[Type="FEPLibrary!Microsoft.FEP.ProtectedServer"]/ServerId$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[4]$</AlertParameter2>
<!-- Detection Time -->
<AlertParameter3>$Data/Params/Param[8]$</AlertParameter3>
<!-- Threat Name -->
<AlertParameter4>$Data/Params/Param[22]$</AlertParameter4>
<!-- Path -->
<AlertParameter5>$Data/Params/Param[13]$</AlertParameter5>
<!-- FW Link -->
<AlertParameter6>$Data/Params/Param[10]$</AlertParameter6>
<!-- Severity -->
<AlertParameter7>$Data/Params/Param[12]$</AlertParameter7>
<!-- Category -->
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[8]$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>