Malware activo - Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor (UnitMonitor) (ESN)

Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor (UnitMonitor)

Este monitor realiza un seguimiento de las operaciones de limpieza de malware con errores.

Knowledge Base article:

Resumen

Este monitor realiza un seguimiento de las operaciones de limpieza de malware con errores. Este monitor informará sobre un estado Crítico si el cliente notifica que no se pudo limpiar el malware.

Configuración

Se recomienda mantener activada esta alerta con la configuración predeterminada.

Soluciones

Seguir la descripción de la alerta. Es posible que tenga que iniciar un examen completo, reiniciar el equipo, ejecutar una herramienta de detección sin conexión, o seguir los pasos manualmente.

Element properties:

Target

Microsoft.FEP.ProtectedServer

Parent Monitor

Microsoft.FEP.ProtectedServer.FEP.Aggregate.Monitor

Category

SecurityHealth

Enabled

True

Alert Generate

True

Alert Severity

MatchMonitorHealth

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.FEP.SecurityRootCause.MalwareActivity.ActiveMalwareMonitorType

Remotable

True

Accessibility

Public

Alert Message

Malware activo

El cliente Forefront Endpoint Protection no pudo limpiar el malware de este equipo. Comprobar que el equipo dispone de las definiciones más actualizadas y volver a examinarlo. Si el malware siguiera presente después del nuevo examen, se recomienda quitar el malware manualmente.

Acciones adicionales: {6}

Detalles de malware:
Nombre de la amenaza: {0}
Hora de detección (GTM): {1}
Gravedad de malware: {2}
Categoría: {3}
Más información: {4}
Ruta de acceso: {5}

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor" Accessibility="Public" Enabled="true" Target="FEPLibrary!Microsoft.FEP.ProtectedServer" ParentMonitorID="Microsoft.FEP.ProtectedServer.FEP.Aggregate.Monitor" Remotable="true" Priority="Normal" TypeID="FEPLibrary!Microsoft.FEP.SecurityRootCause.MalwareActivity.ActiveMalwareMonitorType" ConfirmDelivery="true"> <Category>SecurityHealth</Category> <AlertSettings AlertMessage="Microsoft.FEP.ProtectedServer.ActiveMalware.Monitor.Alert"> <AlertOnState>Error</AlertOnState> <AutoResolve>true</AutoResolve> <AlertPriority>Normal</AlertPriority> <AlertSeverity>MatchMonitorHealth</AlertSeverity> <AlertParameters> <AlertParameter1>$Data/Context/Property[@Name='CriticallyFailedThreatName']$</AlertParameter1> <AlertParameter2>$Data/Context/Property[@Name='CriticallyFailedDetectionTime']$</AlertParameter2> <AlertParameter3>$Data/Context/Property[@Name='CriticallyFailedSeverity']$</AlertParameter3> <AlertParameter4>$Data/Context/Property[@Name='CriticallyFailedCategory']$</AlertParameter4> <AlertParameter5>$Data/Context/Property[@Name='CriticallyFailedFWLink']$</AlertParameter5> <AlertParameter6>$Data/Context/Property[@Name='CriticallyFailedPath']$</AlertParameter6> <AlertParameter7>$Data/Context/Property[@Name='CriticallyFailedAdditionalActions']$</AlertParameter7> </AlertParameters> </AlertSettings> <OperationalStates> <OperationalState ID="NoMalware" MonitorTypeStateID="NoMalware" HealthState="Success"/> <OperationalState ID="ActiveMalware" MonitorTypeStateID="ActiveMalware" HealthState="Error"/> </OperationalStates> <Configuration> <TimeoutSeconds>600</TimeoutSeconds> </Configuration> </UnitMonitor>