Support

Solutions pour les entreprises

Kaspersky Secure Mail Gateway

Publication des événements de l'application dans le système SIEM

Contenu et propriétés des messages syslog au format CEF

Classe d'événements du groupe ScanLogic

Kaspersky Secure Mail Gateway
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Forum Contacter le support Outils de désinfection

Classe d'événements du groupe ScanLogic

26 avril 2024

ID 151789

Dans le corps des messages CEF des classes d'événements du groupe ScanLogic, il est possible d'utiliser des clés conformément à leur sémantique (cf.  tableau ci-après).

Valeurs admissibles des champs des classes d'événements du groupe ScanLogic

Classe d'événements

Clé

Valeur

Toutes les classes du groupe ScanLogic

cs1

ID du message.

cs1Label

A toujours la valeur MessageId.

src

Adresse IP du serveur d'envoi du message.

act

Action.

fsize

Taille du message.

suser

Expéditeur du message.

duser

Liste des destinataires du message.

reason

Cause de l'événement.

cs2

Liste de règles.

cs2Label

A toujours la valeur Rules.

outcome

Etat de l'analyse.

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

fname

Nom du fichier.

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Encrypted
  • Error
  • Disinfected
  • Infected

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection.

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection.

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Phishing

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection.

cs4Label

A toujours la valeur Method.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Malicious link

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Conclusion SPF.

cs4Label

A toujours la valeur SpfVerdict.

cs5

Conclusion DKIM.

cs5Label

A toujours la valeur DkimVerdict.

cs6

Conclusion DMARC.

cs6Label

A toujours la valeur DmarcVerdict.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

suser

Nom du compte utilisateur qui a extrait le message de la quarantaine KATA.

cs4

Raison de l'absence d'analyse.

cs4Label

A toujours la valeur SkipReason.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Valeurs possibles :

  • DetectedFileFormat ;
  • DetectedFileName ;
  • DetectedFileSize.

cs4Label

A toujours la valeur DetectedEntity.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • Clean
  • SizeExceeded
  • BannedFileName
  • BannedFileFormat
  • Error

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Nombre d'objets.

cn1Label

A toujours la valeur ObjectsNumber.

cn2

Taille du fichier bloqué.

cn2label

A toujours la valeur DetectedFileSize.

cs3

Fichiers non analysés.

cs3Label

A toujours la valeur AvExclude.

cs4

Noms des menaces.

cs4Label

A toujours la valeur Threats.

cs5

Nom du fichier bloqué.

cs5Label

A toujours la valeur DetectedFileName.

cs6

Format du fichier bloqué.

cs6Label

A toujours la valeur DetectedFileFormat.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Action. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

Dans chaque classe d'événements du groupe ScanLogic, seule la présence des clés qui lui correspondent (cf.  tableau ci-après).

Clés pertinentes pour les classes des événements du groupe ScanLogic

Classe d'événements

Clés pertinentes

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, act, fsize, suser, duser, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome

LMS_EV_SCAN_LOGIC_AP_STATUS

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Si pour l'événement LMS_EV_SCAN_LOGIC_PART_RESULT, le champ mime part indique l'état avStatus=Infected ou avStatus=Disinfected, alors la liste disinfectedObjects ou deletedObjects (en présence de l'une d'entre elles) est indiquée en tant que valeur de la clé cn1. Si les deux listes ne sont pas vides, les clés cn1 et cn1Label seront ajoutées deux fois.

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées
Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.