Support

Support für Unternehmensanwendungen

Kaspersky Secure Mail Gateway

Ereignisse der App im SIEM-System veröffentlichen

Inhalt und Eigenschaften der syslog-Nachrichten im Format CEF

Ereignisklassen der Gruppe ScanLogic

Kaspersky Secure Mail Gateway
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Ereignisklassen der Gruppe ScanLogic

3. Juli 2024

ID 151789

Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s.  Tabelle unten).

Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Schlüssel

Bedeutung

Alle Klassen der Gruppe ScanLogic

cs1

ID der Nachricht.

cs1Label

Hat immer den Wert MessageId.

src

IP-Adresse des Servers, von der die Nachricht eingegangen ist.

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde.

fsize

Größe der Nachricht.

suser

Nachrichtenabsender. Die Adresse wird aus der SMTP-Sitzung übernommen.

duser

Liste der Empfänger der Nachricht. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs2

Regelliste.

cs2Label

Hat immer den Wert Rules.

outcome

Status der Untersuchung.

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

fname

Dateiname.

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Encrypted
  • Error
  • Disinfected

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs4

Methode der Erkennung. Mögliche Werte können variieren und sind unabhängig von der Produktversion.

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Phishing

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Malicious link

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs4

Der Schluss SPF. Mögliche Werte:

  • NotScanned
  • InternalError
  • None
  • Pass
  • Fail
  • SoftFail
  • Policy
  • Neutral
  • TempError
  • PermError
  • Policy, domain mismatch
  • Ignored, private IP

cs4Label

Hat immer den Wert SpfVerdict.

cs5

Der Schluss DKIM.

cs5Label

Hat immer den Wert DkimVerdict.

cs6

Der Schluss DMARC.

cs6Label

Hat immer den Wert DmarcVerdict.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

suser

Name des Kontos des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat.

cs4

Grund für das Überspringen des Scans. Mögliche Werte:

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

Hat immer den Wert SkipReason.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Mögliche Werte:

  • DetectedFileFormat
  • DetectedFileName
  • DetectedFileSize

cs4Label

Hat immer den Wert DetectedEntity

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • SizeExceeded
  • BannedFileName
  • BannedFileFormat
  • Error

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Anzahl der Objekte.

cn1Label

Hat immer den Wert ObjectsNumber.

cn2

Größe der blockierten Datei.

cn2label

Hat immer den Wert DetectedFileSize.

cs3

Nicht untersuchte Dateien.

cs3Label

Hat immer den Wert AvExclude.

cs4

Liste der Namen der gefundenen Bedrohungen.

cs4Label

Hat immer den Wert Threats.

cs5

Name der blockierten Datei.

cs5Label

Hat immer den Wert DetectedFileName.

cs6

Format der blockierten Datei.

cs6Label

Hat immer den Wert DetectedFileFormat.

outcome

Status der Untersuchung. Mögliche Werte:

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MaliciousLink

Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s.  Tabelle unten).

Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Relevante Schlüssel

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, act, fsize, suser, duser, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome

LMS_EV_SCAN_LOGIC_AP_STATUS

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Wenn im Ereignis LMS_EV_SCAN_LOGIC_PART_RESULT im Feld mime part der Status avStatus=Infected oder avStatus=Disinfected angegeben ist, wird als Schlüsselwert cn1 die Liste disinfectedObjects oder die Liste deletedObjects, sofern einer davon vorliegt, angegeben. Wenn beide Listen nicht leer sind, werden Schlüssel cn1 und cn1Label zweimal hinzugefügt.

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.