Support

Solutions pour les entreprises

Kaspersky Secure Mail Gateway

Publication des événements de l'application dans le système SIEM

Contenu et propriétés des messages syslog au format CEF

Classe d'événements du groupe ScanLogic

Kaspersky Secure Mail Gateway
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Forum Contacter le support Outils de désinfection

Classe d'événements du groupe ScanLogic

23 mai 2024

ID 151789

Dans le corps des messages CEF des classes d'événements du groupe ScanLogic, il est possible d'utiliser des clés conformément à leur sémantique (cf. tableau ci-après).

Valeurs admissibles des champs des classes d'événements du groupe ScanLogic

Classe d'événements

Clé

Valeur

Toutes les classes du groupe ScanLogic

cs1

ID du message.

cs1Label

A toujours la valeur MessageId.

src

Adresse IP du serveur depuis lequel le message a été reçu, au format IPv4.

c6a2

Adresse IP du serveur depuis lequel le message a été reçu, au format IPv6.

act

L'action finale effectuée sur le message.

suser

Expéditeur du message. L'adresse est extraite de la session SMTP.

duser

Liste des destinataires du message. Les adresses sont extraites de la session SMTP.

cs2

Liste de règles.

cs2Label

A toujours la valeur Rules.

outcome

Etat de l'analyse.

KSMGMessageSubject

Objet de la lettre

KSMGRuleNames

Noms des règles.

KSMGAvDetectionMethods

Méthode de détection.

fileHash

Hachage de la partie MIME du message.

KSMGMessageHashType

Algorithme de calcul de hachage.

KSMGBackupResult

Indique si le message a été envoyé à la Sauvegarde.

KSMGApStatus

Le résultat de l'analyse par le module Anti-Phishing.

KSMGMlfStatus

Résultat de la vérification des liens.

KSMGAvStatus

Le résultat de l'analyse par le module Antivirus.

KSMGAsStatus

Le résultat de l'analyse par le module Anti-Spam.

KSMGCfStatus

Résultat du contrôle par le module Filtrage de contenu.

KSMGMaStatus

Résultat de l'authentification des expéditeurs des messages.

KSMGKtStatus

Résultat du contrôle par le module Protection KATA.

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Cause de l'événement. Valeurs possibles :

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data

fsize

Taille du message.

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

LMS_EV_SCAN_LOGIC_AS_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Méthode de détection. Les valeurs possibles peuvent varier et sont indépendantes de la version du produit.

cs4Label

A toujours la valeur Method.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

A toujours la valeur Method.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Phishing

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Méthode de détection. Valeurs possibles :

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

A toujours la valeur Method.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Conclusion SPF. Valeurs possibles :

  • NotScanned
  • InternalError
  • None
  • Pass
  • Fail
  • SoftFail
  • Policy
  • Neutral
  • TempError
  • PermError
  • Policy, domain mismatch
  • Ignored, private IP

cs4Label

A toujours la valeur SpfVerdict.

cs5

Conclusion DKIM.

cs5Label

A toujours la valeur DkimVerdict.

cs6

Conclusion DMARC.

cs6Label

A toujours la valeur DmarcVerdict.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_KT_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Raison de l'absence d'analyse. Valeurs possibles :

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

A toujours la valeur SkipReason.

cs5

Nom du compte utilisateur qui a extrait le message de la quarantaine KATA.

cs5Label

A toujours la valeur Account.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs3

Liste des destinataires des notifications concernant le déclenchement de la règle, pour lesquels une notification avec le message d'origine en pièce jointe a été spécifiée. Les adresses sont extraites de la session SMTP.

cs3Label

A toujours la valeur UnsafeRecipients.

cs4

Liste des noms des expressions appliquées.

cs4Label

A toujours la valeur DetectedEntity.

fsize

Taille du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • MatchedContent

reason

Cause de l'événement. Valeurs possibles :

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Nombre d'objets désinfectés ou supprimés en fonction des résultats de l'analyse antivirus. Rempli uniquement pour les archives.

cn1Label

A toujours la valeur ObjectsNumber.

cs3

Fichiers non analysés.

cs3Label

A toujours la valeur AvExclude.

cs4

Liste des noms des menaces trouvées.

cs4Label

A toujours la valeur Threats.

cs5

Liste des expressions de filtrage de contenu déclenchées.

cs5Label

A toujours la valeur AppliedExpressions.

fname

Nom du fichier.

fsize

Taille de la partie MIME du message.

outcome

Etat de l'analyse. Valeurs possibles :

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

La raison du manque d'analyse par le module Antivirus. Valeurs possibles :

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

LMS_EV_SCAN_LOGIC_URL

cs3

URL.

cs3Label

A toujours la valeur URL.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

L'action finale effectuée sur le message. Valeurs possibles :

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

fsize

Taille du message.

reason

Cause de l'événement. Valeurs possibles :

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MlfScanning

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

fsize

Taille du message.

Dans chaque classe d'événements du groupe ScanLogic, seule la présence des clés qui lui correspondent (cf.  tableau ci-après).

Clés pertinentes pour les classes des événements du groupe ScanLogic

Classe d'événements

Clés pertinentes

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames

LMS_EV_SCAN_LOGIC_AP_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods

LMS_EV_SCAN_LOGIC_URL

cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées
Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.