Classe d'événements du groupe ScanLogic

Support

Solutions pour les entreprises

Kaspersky Secure Mail Gateway

Publication des événements de l'application dans le système SIEM

Contenu et propriétés des messages syslog au format CEF

Classe d'événements du groupe ScanLogic

3 juillet 2024

ID 151789

Dans le corps des messages CEF des classes d'événements du groupe ScanLogic, il est possible d'utiliser des clés conformément à leur sémantique (cf. tableau ci-après).

Valeurs admissibles des champs des classes d'événements du groupe ScanLogic

Classe d'événements	Clé	Valeur
Toutes les classes du groupe ScanLogic	cs1	ID du message.
	cs1Label	A toujours la valeur `MessageId`.
	src	Adresse IP du serveur d'envoi du message.
	act	L'action finale effectuée sur le message.
	fsize	Taille du message.
	suser	Expéditeur du message. L'adresse est extraite de la session SMTP.
	duser	Liste des destinataires du message. Les adresses sont extraites de la session SMTP.
	cs2	Liste de règles.
	cs2Label	A toujours la valeur `Rules`.
	outcome	Etat de l'analyse.
	cs3	Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.
	cs3Label	A toujours la valeur `UnsafeRecipients`.
	fname	Nom du fichier.
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	reason	Cause de l'événement. Valeurs possibles : `InternalError` `Cancelled`
LMS_EV_SCAN_LOGIC_AV_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Méthode de détection. Valeurs possibles : `None` `Local bases` `KSN` `KPSN user data`
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `Clean` `Encrypted` `Error` `Disinfected`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_AS_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Rejected` `Deleted`
	cs4	Méthode de détection. Les valeurs possibles peuvent varier et sont indépendantes de la version du produit.
	cs4Label	A toujours la valeur `Method`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `Clean` `Trusted` `Formal` `Error` `ProbableSpam` `Denylisted` `Spam` `MASSMAIL`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_AP_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Méthode de détection. Valeurs possibles : `None` `Local bases` `KSN` `KPSN user data` `Heuristics`
	cs4Label	A toujours la valeur `Method`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `Clean` `Error` `Phishing`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MLF_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Rejected` `Deleted`
	cs4	Méthode de détection. Valeurs possibles : `None` `Local bases` `KSN` `KPSN user data`
	cs4Label	A toujours la valeur `Method`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `Clean` `Error` `Malicious link`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MA_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Rejected` `Deleted`
	cs4	Conclusion SPF. Valeurs possibles : `NotScanned` `InternalError` `None` `Pass` `Fail` `SoftFail` `Policy` `Neutral` `TempError` `PermError` `Policy, domain mismatch` `Ignored, private IP`
	cs4Label	A toujours la valeur `SpfVerdict`.
	cs5	Conclusion DKIM.
	cs5Label	A toujours la valeur `DkimVerdict`.
	cs6	Conclusion DMARC.
	cs6Label	A toujours la valeur `DmarcVerdict`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `ViolationNotFound` `ViolationFound`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_KT_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Rejected` `Deleted`
	suser	Nom du compte utilisateur qui a extrait le message de la quarantaine KATA.
	cs4	Raison de l'absence d'analyse. Valeurs possibles : `NoReason` `Filtered` `Timeout` `Proceed` `QueueLimitExceeded` `Disabled` `MessageSizeLimitExceeded`
	cs4Label	A toujours la valeur `SkipReason`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `NotDetected` `Error` `Detected` `Skipped`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy` `NotScanned`
LMS_EV_SCAN_LOGIC_CF_STATUS	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Valeurs possibles : `DetectedFileFormat` ; `DetectedFileName` ; `DetectedFileSize`.
	cs4Label	A toujours la valeur `DetectedEntity`.
	outcome	Etat de l'analyse. Valeurs possibles : `NotScanned` `BasesError` `Clean` `SizeExceeded` `BannedFileName` `BannedFileFormat` `Error`
	reason	Cause de l'événement. Valeurs possibles : `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_PART_RESULT	cn1	Nombre d'objets.
	cn1Label	A toujours la valeur `ObjectsNumber`.
	cn2	Taille du fichier bloqué.
	cn2label	A toujours la valeur `DetectedFileSize`.
	cs3	Fichiers non analysés.
	cs3Label	A toujours la valeur `AvExclude`.
	cs4	Liste des noms des menaces trouvées.
	cs4Label	A toujours la valeur `Threats`.
	cs5	Nom du fichier bloqué.
	cs5Label	A toujours la valeur `DetectedFileName`.
	cs6	Format du fichier bloqué.
	cs6Label	A toujours la valeur `DetectedFileFormat`.
	outcome	Etat de l'analyse. Valeurs possibles : `BasesError` `NotDetected` `Encrypted` `Error` `Disinfected` `Infected`
	reason	Cause de l'événement. Valeurs possibles : `NoReason` `SizeLimit` `NestingLevel` `Filename` `FileFormat`
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	act	L'action finale effectuée sur le message. Valeurs possibles : `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	reason	Cause de l'événement. Valeurs possibles : `NoReason` `AntiSpam` `AntiVirus` `ContentFiltering` `AntiPhishing` `FailedToBackup` `PersonalDenyList` `MessageAuthentication` `Kata` `MaliciousLink`

Dans chaque classe d'événements du groupe ScanLogic, seule la présence des clés qui lui correspondent (cf. tableau ci-après).

Clés pertinentes pour les classes des événements du groupe ScanLogic

Classe d'événements	Clés pertinentes
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	cs1, cs1Label, src, act, fsize, suser, duser, reason
LMS_EV_SCAN_LOGIC_AS_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome
LMS_EV_SCAN_LOGIC_AV_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome
LMS_EV_SCAN_LOGIC_KT_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome
LMS_EV_SCAN_LOGIC_MA_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome
LMS_EV_SCAN_LOGIC_CF_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome
LMS_EV_SCAN_LOGIC_PART_RESULT	cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Si pour l'événement LMS_EV_SCAN_LOGIC_PART_RESULT, le champ mime part indique l'état avStatus=Infected ou avStatus=Disinfected, alors la liste disinfectedObjects ou deletedObjects (en présence de l'une d'entre elles) est indiquée en tant que valeur de la clé cn1. Si les deux listes ne sont pas vides, les clés cn1 et cn1Label seront ajoutées deux fois.

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées

Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.

Services d'assistance haut de gamme : traitement prioritaire des incidents

Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.

Cet article vous a-t-il été utile ?

Que pouvons-nous améliorer ?

Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.