Génère une alerte lorsque le client Microsoft Forefront Endpoint Protection signale un programme malveillant nettoyé.
Cette règle effectue le suivi des opérations de nettoyage des programmes malveillants réussies.
Il est recommandé de laisser cette règle activée dans la configuration par défaut.
Cette règle génère une alerte d'information si le client signale que les programmes malveillants ont été correctement nettoyés.
Target | Microsoft.FEP.ProtectedServer | ||
Category | Custom | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Low | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventsDS | DataSource | Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.FEP.MalwareCleanedAlertRule" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Custom</Category>
<DataSources>
<DataSource ID="EventsDS" TypeID="FEPLibrary!Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS"/>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">
<Priority>0</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.FEP.MalwareCleanedAlertRule.Alert"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Target/Property[Type="FEPLibrary!Microsoft.FEP.ProtectedServer"]/ServerId$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[4]$</AlertParameter2>
<!-- Detection Time -->
<AlertParameter3>$Data/Params/Param[8]$</AlertParameter3>
<!-- Threat Name -->
<AlertParameter4>$Data/Params/Param[22]$</AlertParameter4>
<!-- Path -->
<AlertParameter5>$Data/Params/Param[13]$</AlertParameter5>
<!-- FW Link -->
<AlertParameter6>$Data/Params/Param[10]$</AlertParameter6>
<!-- Severity -->
<AlertParameter7>$Data/Params/Param[12]$</AlertParameter7>
<!-- Category -->
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[8]$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>