Support

Support für Unternehmensanwendungen

Kaspersky Secure Mail Gateway

Ereignisse der App im SIEM-System veröffentlichen

Inhalt und Eigenschaften der syslog-Nachrichten im Format CEF

Ereignisklassen der Gruppe ScanLogic

Kaspersky Secure Mail Gateway
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Ereignisklassen der Gruppe ScanLogic

26. April 2024

ID 151789

Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s.  Tabelle unten).

Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Schlüssel

Bedeutung

Alle Klassen der Gruppe ScanLogic

cs1

ID der Nachricht.

cs1Label

Hat immer den Wert MessageId.

src

IP-Adresse des Servers, von der die Nachricht eingegangen ist.

act

Aktion.

fsize

Größe der Nachricht.

suser

Nachrichtenabsender.

duser

Liste der Empfänger der Nachricht.

reason

Grund für den Eintritt des Ereignisses.

cs2

Regelliste.

cs2Label

Hat immer den Wert Rules.

outcome

Status der Untersuchung.

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

fname

Dateiname.

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Encrypted
  • Error
  • Disinfected
  • Infected

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung.

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung.

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Phishing

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung.

cs4Label

Hat immer den Wert Method.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Malicious link

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Der Schluss SPF.

cs4Label

Hat immer den Wert SpfVerdict.

cs5

Der Schluss DKIM.

cs5Label

Hat immer den Wert DkimVerdict.

cs6

Der Schluss DMARC.

cs6Label

Hat immer den Wert DmarcVerdict.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

suser

Name des Kontos des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat.

cs4

Grund für das Überspringen des Scans.

cs4Label

Hat immer den Wert SkipReason.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Mögliche Werte:

  • DetectedFileFormat
  • DetectedFileName
  • DetectedFileSize

cs4Label

Hat immer den Wert DetectedEntity

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • Clean
  • SizeExceeded
  • BannedFileName
  • BannedFileFormat
  • Error

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Anzahl der Objekte.

cn1Label

Hat immer den Wert ObjectsNumber.

cn2

Größe der blockierten Datei.

cn2label

Hat immer den Wert DetectedFileSize.

cs3

Nicht untersuchte Dateien.

cs3Label

Hat immer den Wert AvExclude.

cs4

Namen der Bedrohungen.

cs4Label

Hat immer den Wert Threats.

cs5

Name der blockierten Datei.

cs5Label

Hat immer den Wert DetectedFileName.

cs6

Format der blockierten Datei.

cs6Label

Hat immer den Wert DetectedFileFormat.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Aktion. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s.  Tabelle unten).

Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Relevante Schlüssel

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, act, fsize, suser, duser, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome

LMS_EV_SCAN_LOGIC_AP_STATUS

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Wenn im Ereignis LMS_EV_SCAN_LOGIC_PART_RESULT im Feld mime part der Status avStatus=Infected oder avStatus=Disinfected angegeben ist, wird als Schlüsselwert cn1 die Liste disinfectedObjects oder die Liste deletedObjects, sofern einer davon vorliegt, angegeben. Wenn beide Listen nicht leer sind, werden Schlüssel cn1 und cn1Label zweimal hinzugefügt.

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.