Support

Support für Unternehmensanwendungen

Kaspersky Secure Mail Gateway

Ereignisse der App im SIEM-System veröffentlichen

Inhalt und Eigenschaften der syslog-Nachrichten im Format CEF

Ereignisklassen der Gruppe ScanLogic

Kaspersky Secure Mail Gateway
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Ereignisklassen der Gruppe ScanLogic

10. Juli 2024

ID 151789

Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s.  Tabelle unten).

Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Schlüssel

Bedeutung

Alle Klassen der Gruppe ScanLogic

cs1

ID der Nachricht.

cs1Label

Hat immer den Wert MessageId.

src

IP-Adresse des Servers, von der die Nachricht eingegangen ist, im IPv4-Format.

c6a2

IP-Adresse des Servers, von der die Nachricht eingegangen ist, im IPv6-Format.

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde.

suser

Nachrichtenabsender. Die Adresse wird aus der SMTP-Sitzung übernommen.

duser

Liste der Empfänger der Nachricht. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs2

Regelliste.

cs2Label

Hat immer den Wert Rules.

outcome

Status der Untersuchung.

KSMGMessageSubject

Betreff der Nachricht

KSMGRuleNames

Regelname

KSMGAvDetectionMethods

Erkennungsmethode

fileHash

Hash des MIME-Teils der Nachricht

KSMGMessageHashType

Hash-Berechnungsalgorithmus

KSMGBackupResult

Gibt an, ob die Nachricht an den Speicher gesendet wurde

KSMGApStatus

Ergebnis der Untersuchung durch das Anti-Phishing-Modul

KSMGMlfStatus

Ergebnis der Untersuchung der Links

KSMGAvStatus

Ergebnis der Untersuchung durch das Anti-Virus-Modul

KSMGAsStatus

Ergebnis der Untersuchung durch das Anti-Spam-Modul

KSMGCfStatus

Ergebnis der Untersuchung durch das Modul Inhaltsfilterung

KSMGMaStatus

Ergebnis der Untersuchung der Authentifizierung der E-Mail-Absender

KSMGKtStatus

Ergebnis der Untersuchung durch das Modul KATA-Schutz

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data

fsize

Größe der Nachricht.

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Methode der Erkennung. Mögliche Werte können variieren und sind unabhängig von der Produktversion.

cs4Label

Hat immer den Wert Method.

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

Hat immer den Wert Method.

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Phishing

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Methode der Erkennung. Mögliche Werte:

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

Hat immer den Wert Method.

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Der Schluss SPF. Mögliche Werte:

  • NotScanned
  • InternalError
  • None
  • Pass
  • Fail
  • SoftFail
  • Policy
  • Neutral
  • TempError
  • PermError
  • Policy, domain mismatch
  • Ignored, private IP

cs4Label

Hat immer den Wert SpfVerdict.

cs5

Der Schluss DKIM.

cs5Label

Hat immer den Wert DkimVerdict.

cs6

Der Schluss DMARC.

cs6Label

Hat immer den Wert DmarcVerdict.

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Grund für das Überspringen des Scans. Mögliche Werte:

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

Hat immer den Wert SkipReason.

cs5

Name des Kontos des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat.

cs5Label

Hat immer den Wert Account.

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs3

Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen.

cs3Label

Hat immer den Wert UnsafeRecipients.

cs4

Liste der Namen der angewendeten Ausdrücke.

cs4Label

Hat immer den Wert DetectedEntity

fsize

Größe der Nachricht.

outcome

Status der Untersuchung. Mögliche Werte:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • MatchedContent

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Anzahl der Objekte, die basierend auf den Ergebnissen der Untersuchung durch das Modul Anti-Virus desinfiziert oder gelöscht wurden. Wird nur für Archive ausgefüllt.

cn1Label

Hat immer den Wert ObjectsNumber.

cs3

Nicht untersuchte Dateien.

cs3Label

Hat immer den Wert AvExclude.

cs4

Liste der Namen der gefundenen Bedrohungen.

cs4Label

Hat immer den Wert Threats.

cs5

Liste der ausgelösten Ausdrücke für die Inhaltsfilterung

cs5Label

Hat immer den Wert AppliedExpressions

fname

Dateiname.

fsize

Größe des MIME-Teils der Nachricht

outcome

Status der Untersuchung. Mögliche Werte:

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

Grund für die fehlende Untersuchung durch das Anti-Virus-Modul. Mögliche Werte:

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

LMS_EV_SCAN_LOGIC_URL

cs3

URL-Adresse

cs3Label

Hat immer den Wert URL.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

fsize

Größe der Nachricht.

reason

Grund für den Eintritt des Ereignisses. Mögliche Werte:

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MlfScanning

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

fsize

Größe der Nachricht.

Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s.  Tabelle unten).

Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic

Ereignisklasse

Relevante Schlüssel

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_AP_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods

LMS_EV_SCAN_LOGIC_URL

cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.