Home
  •  

活动恶意软件

Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor (UnitMonitor)

此监视器跟踪失败的恶意软件清除操作。

Knowledge Base article:

摘要

此监视器跟踪失败的恶意软件清除操作。 如果客户端报告它未能清除恶意软件,则此监视器将报告“严重”状态。

配置

建议使用默认配置保持此警报为打开状态。

解决方法

按照警报说明进行操作。 可能要求您启动完全扫描,重新启动计算机,运行脱机扫描工具或执行手动步骤。

Element properties:

TargetMicrosoft.FEP.ProtectedServer
Parent MonitorMicrosoft.FEP.ProtectedServer.FEP.Aggregate.Monitor
CategorySecurityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityMatchMonitorHealth
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.FEP.SecurityRootCause.MalwareActivity.ActiveMalwareMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
活动恶意软件
Forefront Endpoint Protection 客户端未能清除此计算机上的恶意软件。 验证计算机是否具有最新定义并重新扫描计算机。 如果重新扫描后恶意软件仍然存在,则建议您手动删除恶意软件。

其他操作: {6}

恶意软件详细信息:
威胁名称: {0}
检测时间 (GMT): {1}
恶意软件严重性: {2}
类别: {3}
更多信息: {4}
路径: {5}
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor" Accessibility="Public" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ParentMonitorID="Microsoft.FEP.ProtectedServer.FEP.Aggregate.Monitor" Remotable="true" Priority="Normal" TypeID="FEPLibrary!Microsoft.FEP.SecurityRootCause.MalwareActivity.ActiveMalwareMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor.Alert">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/Property[@Name='CriticallyFailedThreatName']$</AlertParameter1>

      <AlertParameter2>$Data/Context/Property[@Name='CriticallyFailedDetectionTime']$</AlertParameter2>

      <AlertParameter3>$Data/Context/Property[@Name='CriticallyFailedSeverity']$</AlertParameter3>

      <AlertParameter4>$Data/Context/Property[@Name='CriticallyFailedCategory']$</AlertParameter4>

      <AlertParameter5>$Data/Context/Property[@Name='CriticallyFailedFWLink']$</AlertParameter5>

      <AlertParameter6>$Data/Context/Property[@Name='CriticallyFailedPath']$</AlertParameter6>

      <AlertParameter7>$Data/Context/Property[@Name='CriticallyFailedAdditionalActions']$</AlertParameter7>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="NoMalware" MonitorTypeStateID="NoMalware" HealthState="Success"/>

    <OperationalState ID="ActiveMalware" MonitorTypeStateID="ActiveMalware" HealthState="Error"/>

  </OperationalStates>

  <Configuration>

    <TimeoutSeconds>600</TimeoutSeconds>

  </Configuration>

</UnitMonitor>