Mit diesem Monitor wird die Aktivität von entfernter und aktiver Malware überwacht.
Mit diesem Monitor wird ein Malware-Ausbruch von entfernten und aktiven Infektionen erkannt, wenn diese auf einem bestimmten Computer auftreten.
Es wird eine Warnung erzeugt, wenn innerhalb von 60 Minuten auf einem bestimmten Computer eine beliebige Malware erkannt wird. Dieses Verhalten lässt sich konfigurieren, indem der Monitor außer Kraft gesetzt wird.
Sie sollten die Ursache dieses Verhaltens untersuchen.
Target | Microsoft.SCEP.Linux.MalwareActivity |
Parent Monitor | Microsoft.SCEP.Linux.MalwareOutbreak.Aggregate.Monitor |
Category | SecurityHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.SCEP.Linux.MalwareOutbreak.MonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.SCEP.Linux.MalwareActivity.Outbreak.Monitor" Accessibility="Public" Enabled="true" Target="SCEPLinuxLibrary!Microsoft.SCEP.Linux.MalwareActivity" ParentMonitorID="Microsoft.SCEP.Linux.MalwareOutbreak.Aggregate.Monitor" Remotable="true" Priority="Normal" TypeID="SCEPLinuxLibrary!Microsoft.SCEP.Linux.MalwareOutbreak.MonitorType" ConfirmDelivery="true">
<Category>SecurityHealth</Category>
<OperationalStates>
<OperationalState ID="UIGeneratedOpStateIdd601ceed50dd4e0988ee1f7252e61402" MonitorTypeStateID="MalwareActivityDetected" HealthState="Error"/>
<OperationalState ID="UIGeneratedOpStateId0d9765e99c8c4194b1269c3c68069dde" MonitorTypeStateID="TimerReset" HealthState="Success"/>
</OperationalStates>
<Configuration>
<TimerWaitInSeconds>3600</TimerWaitInSeconds>
<Host>$Target/Host/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/scep/eventlog_scom.dat</LogFile>
<RegExpFilter>^event=malware, .*status=(clean|infected).*$</RegExpFilter>
</Configuration>
</UnitMonitor>