Home
  •  

マルウェア除去済み警告の規則

Microsoft.FEP.MalwareCleanedAlertRule (Rule)

Microsoft Forefront Endpoint Protection クライアントが、除去されたマルウェアについて報告したときに警告を生成します。

Knowledge Base article:

概要

この規則は、成功したマルウェア除去操作を追跡します。

構成

既定の構成を使用してこの規則を有効にしておくことをお勧めします。

原因

この規則は、クライアントがマルウェアの除去に成功したことを報告したときに、情報警告を生成します。

Element properties:

TargetMicrosoft.FEP.ProtectedServer
CategoryCustom
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityLow
RemotableTrue
Alert Message
マルウェア除去済み
Forefront Endpoint Protection が '{0}' からマルウェアを検出して除去しました。 これ以上のアクションは必要ありません。

マルウェアの詳細:
検出日時 (GMT): {1}
脅威名: {2}
脅威の場所: {3}
詳細情報: {4}
マルウェアの重大度: {5}
カテゴリ: {6}

Member Modules:

ID Module Type TypeId RunAs 
EventsDS DataSource Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.FEP.MalwareCleanedAlertRule" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Custom</Category>

  <DataSources>

    <DataSource ID="EventsDS" TypeID="FEPLibrary!Microsoft.FEP.ProtectedServer.MalwareCleanedEventDS"/>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>0</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.FEP.MalwareCleanedAlertRule.Alert"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Property[Type="FEPLibrary!Microsoft.FEP.ProtectedServer"]/ServerId$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[4]$</AlertParameter2>

        <!-- Detection Time -->

        <AlertParameter3>$Data/Params/Param[8]$</AlertParameter3>

        <!-- Threat Name -->

        <AlertParameter4>$Data/Params/Param[22]$</AlertParameter4>

        <!-- Path -->

        <AlertParameter5>$Data/Params/Param[13]$</AlertParameter5>

        <!-- FW Link -->

        <AlertParameter6>$Data/Params/Param[10]$</AlertParameter6>

        <!-- Severity -->

        <AlertParameter7>$Data/Params/Param[12]$</AlertParameter7>

        <!-- Category -->

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[8]$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>