Классы событий группы ScanLogic

Поддержка

Поддержка приложений для бизнеса

Kaspersky Secure Mail Gateway

Публикация событий приложения в SIEM-систему

Содержание и свойства syslog-сообщений в формате CEF

Классы событий группы ScanLogic

26 апреля 2024

ID 151789

В теле CEF-сообщений классов событий группы ScanLogic допустимо использование ключей в соответствии с их семантикой (см. таблицу ниже).

Допустимые значения полей классов событий группы ScanLogic

Класс событий	Ключ	Значение
Все классы группы ScanLogic	cs1	ID сообщения.
	cs1Label	Всегда имеет значение `MessageId`.
	src	IP-адрес сервера, от которого получено сообщение.
	act	Окончательное действие, выполненное над сообщением.
	fsize	Размер сообщения.
	suser	Отправитель сообщения. Адрес берется из SMTP-сессии.
	duser	Список получателей сообщения. Адреса берутся из SMTP-сессии.
	cs2	Список правил.
	cs2Label	Всегда имеет значение `Rules`.
	outcome	Статус проверки.
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	fname	Имя файла.
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	reason	Причина возникновения события. Возможные значения: `InternalError` `Cancelled`
LMS_EV_SCAN_LOGIC_AV_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data`
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `Clean` `Encrypted` `Error` `Disinfected`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_AS_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs4	Метод обнаружения. Возможные значения могут меняться и не зависят от версии продукта.
	cs4Label	Всегда имеет значение `Method`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `Clean` `Trusted` `Formal` `Error` `ProbableSpam` `Denylisted` `Spam` `MASSMAIL`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_AP_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data` `Heuristics`
	cs4Label	Всегда имеет значение `Method`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `Clean` `Error` `Phishing`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MLF_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data`
	cs4Label	Всегда имеет значение `Method`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `Clean` `Error` `Malicious link`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MA_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs4	Заключение SPF. Возможные значения: `NotScanned` `InternalError` `None` `Pass` `Fail` `SoftFail` `Policy` `Neutral` `TempError` `PermError` `Policy, domain mismatch` `Ignored, private IP`
	cs4Label	Всегда имеет значение `SpfVerdict`.
	cs5	Заключение DKIM.
	cs5Label	Всегда имеет значение `DkimVerdict`.
	cs6	Заключение DMARC.
	cs6Label	Всегда имеет значение `DmarcVerdict`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `ViolationNotFound` `ViolationFound`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_KT_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	suser	Имя учетной записи пользователя, который извлек сообщение из KATA-карантина.
	cs4	Причина пропуска сканирования. Возможные значения: `NoReason` `Filtered` `Timeout` `Proceed` `QueueLimitExceeded` `Disabled` `MessageSizeLimitExceeded`
	cs4Label	Всегда имеет значение `SkipReason`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Error` `Detected` `Skipped`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy` `NotScanned`
LMS_EV_SCAN_LOGIC_CF_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Возможные значения: `DetectedFileFormat`; `DetectedFileName`; `DetectedFileSize`.
	cs4Label	Всегда имеет значение `DetectedEntity`.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `Clean` `SizeExceeded` `BannedFileName` `BannedFileFormat` `Error`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_PART_RESULT	cn1	Количество объектов.
	cn1Label	Всегда имеет значение `ObjectsNumber`.
	cn2	Размер заблокированного файла.
	cn2label	Всегда имеет значение `DetectedFileSize`.
	cs3	Непроверенные файлы.
	cs3Label	Всегда имеет значение `AvExclude`.
	cs4	Список имен найденных угроз.
	cs4Label	Всегда имеет значение `Threats`.
	cs5	Имя заблокированного файла.
	cs5Label	Всегда имеет значение `DetectedFileName`.
	cs6	Формат заблокированного файла.
	cs6Label	Всегда имеет значение `DetectedFileFormat`.
	outcome	Статус проверки. Возможные значения: `BasesError` `NotDetected` `Encrypted` `Error` `Disinfected` `Infected`
	reason	Причина возникновения события. Возможные значения: `NoReason` `SizeLimit` `NestingLevel` `Filename` `FileFormat`
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	reason	Причина возникновения события. Возможные значения: `NoReason` `AntiSpam` `AntiVirus` `ContentFiltering` `AntiPhishing` `FailedToBackup` `PersonalDenyList` `MessageAuthentication` `Kata` `MaliciousLink`

В каждом классе событий группы ScanLogic допустимо присутствие только релевантных ему ключей (см. таблицу ниже).

Релевантные ключи для классов событий группы ScanLogic

Класс событий	Релевантные ключи
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	cs1, cs1Label, src, act, fsize, suser, duser, reason
LMS_EV_SCAN_LOGIC_AS_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome
LMS_EV_SCAN_LOGIC_AV_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome
LMS_EV_SCAN_LOGIC_KT_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome
LMS_EV_SCAN_LOGIC_MA_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome
LMS_EV_SCAN_LOGIC_CF_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome
LMS_EV_SCAN_LOGIC_PART_RESULT	cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Если в событии LMS_EV_SCAN_LOGIC_PART_RESULT в поле mime part указан статус avStatus=Infected или avStatus=Disinfected, то в качестве значения ключа cn1 указывается список disinfectedObjects или deletedObjects при наличии одного из них. Если оба списка непустые, то ключи cn1 и cn1Label будут добавлены дважды.

Kaspersky Endpoint Security для бизнеса Расширенный — адаптивная защита вашей компании

Веб-контроль и контроль устройств. Шифрование данных. Удобное управление защитой из единой консоли.

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!