Classe d'événements du groupe ScanLogic

3 juillet 2024

ID 151789

Dans le corps des messages CEF des classes d'événements du groupe ScanLogic, il est possible d'utiliser des clés conformément à leur sémantique (cf.  tableau ci-après).

Valeurs admissibles des champs des classes d'événements du groupe ScanLogic

Classe d'événements

Clé

Valeur

Toutes les classes du groupe ScanLogic

cs1

ID du message.

cs1Label

A toujours la valeur MessageId.

src

Adresse IP du serveur d'envoi du message.

act

L'action finale effectuée sur le message.

fsize

Taille du message.

suser

Expéditeur du message. L'adresse est extraite de la session SMTP.

duser

Liste des destinataires du message. Les adresses sont extraites de la session SMTP.

cs2

Liste de règles.

cs2Label

A toujours la valeur Rules.

outcome

Etat de l'analyse.

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

fname

Nom du fichier.

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Cause de l'événement. Valeurs possibles :

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Encrypted
  • Error
  • Disinfected

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AS_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs4

Méthode de détection. Les valeurs possibles peuvent varier et sont indépendantes de la version du produit.

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Phishing

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Malicious link

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs4

Conclusion SPF. Valeurs possibles :

  • NotScanned
  • InternalError
  • None
  • Pass
  • Fail
  • SoftFail
  • Policy
  • Neutral
  • TempError
  • PermError
  • Policy, domain mismatch
  • Ignored, private IP

cs4Label

A toujours la valeur SpfVerdict.

cs5

Conclusion DKIM.

cs5Label

A toujours la valeur DkimVerdict.

cs6

Conclusion DMARC.

cs6Label

A toujours la valeur DmarcVerdict.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_KT_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

suser

Nom du compte utilisateur qui a extrait le message de la quarantaine KATA.

cs4

Raison de l'absence d'analyse. Valeurs possibles :

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

A toujours la valeur SkipReason.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Valeurs possibles :

  • DetectedFileFormat ;
  • DetectedFileName ;
  • DetectedFileSize.

cs4Label

A toujours la valeur DetectedEntity.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • SizeExceeded
  • BannedFileName
  • BannedFileFormat
  • Error

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Nombre d'objets.

cn1Label

A toujours la valeur ObjectsNumber.

cn2

Taille du fichier bloqué.

cn2label

A toujours la valeur DetectedFileSize.

cs3

Fichiers non analysés.

cs3Label

A toujours la valeur AvExclude.

cs4

Liste des noms des menaces trouvées.

cs4Label

A toujours la valeur Threats.

cs5

Nom du fichier bloqué.

cs5Label

A toujours la valeur DetectedFileName.

cs6

Format du fichier bloqué.

cs6Label

A toujours la valeur DetectedFileFormat.

outcome

Etat de l'analyse. Valeurs possibles :

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

Cause de l'événement. Valeurs possibles :

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

reason

Cause de l'événement. Valeurs possibles :

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MaliciousLink

Dans chaque classe d'événements du groupe ScanLogic, seule la présence des clés qui lui correspondent (cf.  tableau ci-après).

Clés pertinentes pour les classes des événements du groupe ScanLogic

Classe d'événements

Clés pertinentes

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, act, fsize, suser, duser, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome

LMS_EV_SCAN_LOGIC_AP_STATUS

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Si pour l'événement LMS_EV_SCAN_LOGIC_PART_RESULT, le champ mime part indique l'état avStatus=Infected ou avStatus=Disinfected, alors la liste disinfectedObjects ou deletedObjects (en présence de l'une d'entre elles) est indiquée en tant que valeur de la clé cn1. Si les deux listes ne sont pas vides, les clés cn1 et cn1Label seront ajoutées deux fois.

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.