Home
  •  

Règle Alerte - Programmes malveillants nettoyés

Microsoft.FEP.MalwareCleanedAlertRule (Rule)

Génère une alerte lorsque le client Microsoft Forefront Endpoint Protection signale un programme malveillant nettoyé.

Knowledge Base article:

Résumé

Cette règle effectue le suivi des opérations de nettoyage des programmes malveillants réussies.

Configuration

Il est recommandé de laisser cette règle activée dans la configuration par défaut.

Causes

Cette règle génère une alerte d'information si le client signale que les programmes malveillants ont été correctement nettoyés.

Element properties:

TargetMicrosoft.FEP.ProtectedServer
CategoryCustom
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityLow
RemotableTrue
Alert Message
Programmes malveillants nettoyés
Forefront Endpoint Protection a détecté et nettoyé des programmes malveillants sur '{0}'. Aucune autre action n'est nécessaire.

Détails sur les programmes malveillants :
Heure de détection (GMT) : {1}
Nom de la menace : {2}
Emplacement de la menace : {3}
Plus d'informations : {4}
Gravité des programmes malveillants : {5}
Catégorie : {6}

Member Modules:

ID Module Type TypeId RunAs 
EventsDS DataSource Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.FEP.MalwareCleanedAlertRule" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Custom</Category>

  <DataSources>

    <DataSource ID="EventsDS" TypeID="FEPLibrary!Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS"/>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>0</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.FEP.MalwareCleanedAlertRule.Alert"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Property[Type="FEPLibrary!Microsoft.FEP.ProtectedServer"]/ServerId$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[4]$</AlertParameter2>

        <!-- Detection Time -->

        <AlertParameter3>$Data/Params/Param[8]$</AlertParameter3>

        <!-- Threat Name -->

        <AlertParameter4>$Data/Params/Param[22]$</AlertParameter4>

        <!-- Path -->

        <AlertParameter5>$Data/Params/Param[13]$</AlertParameter5>

        <!-- FW Link -->

        <AlertParameter6>$Data/Params/Param[10]$</AlertParameter6>

        <!-- Severity -->

        <AlertParameter7>$Data/Params/Param[12]$</AlertParameter7>

        <!-- Category -->

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[8]$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>