Classes de eventos de grupo ScanLogic

23 de maio de 2024

ID 151789

No corpo das mensagens CEF para classes de eventos de grupo ScanLogic, é possível usar as chaves de acordo com a semântica (consulte a tabela abaixo).

Valores permitidos dos campos para classes de eventos de grupo ScanLogic

Classe de evento

Chave

Valor

Todas as classes de grupo ScanLogic

cs1

ID da mensagem.

cs1Label

O valor é sempre MessageId.

src

Endereço IP do servidor a partir do qual a mensagem foi recebida.

act

Ação final que foi executada na mensagem.

fsize

Tamanho da mensagem.

suser

Remetente do correio. O endereço é obtido da sessão SMTP.

duser

Lista de destinatários da mensagem. Os endereços são obtidos da sessão SMTP.

cs2

Lista de regras.

cs2Label

O valor é sempre Rules.

outcome

Status da verificação.

cs3

Lista de destinatários de notificações sobre regras acionadas para as quais uma notificação é configurada com a mensagem original em um anexo. Os endereços são obtidos da sessão SMTP.

cs3Label

O valor é sempre UnsafeRecipients.

fname

Nome do arquivo.

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Motivo do evento. Valores possíveis:

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Método de detecção. Valores possíveis:

  • None
  • Local bases
  • KSN
  • KPSN user data

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • Clean
  • Encrypted
  • Error
  • Disinfected

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Rejected
  • Deleted

cs4

Método de detecção. Os valores possíveis estão sujeitos a alterações e não dependem da versão do produto.

cs4Label

O valor é sempre Method.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • Clean
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Método de detecção. Valores possíveis:

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

O valor é sempre Method.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Phishing

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Rejected
  • Deleted

cs4

Método de detecção. Valores possíveis:

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

O valor é sempre Method.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • Clean
  • Error
  • Malicious link

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Rejected
  • Deleted

cs4

Status SPF. Valores possíveis:

  • NotScanned
  • InternalError
  • None
  • Pass
  • Fail
  • SoftFail
  • Policy
  • Neutral
  • TempError
  • PermError
  • Policy, domain mismatch
  • Ignored, private IP

cs4Label

O valor é sempre SpfVerdict.

cs5

Status DKIM.

cs5Label

O valor é sempre DkimVerdict.

cs6

Status do DMARC.

cs6Label

O valor é sempre DmarcVerdict.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • ViolationNotFound
  • ViolationFound

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Rejected
  • Deleted

suser

Nome da conta de usuário que extraiu a mensagem da quarentena KATA.

cs4

Motivo para ignorar a verificação. Valores possíveis:

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

O valor é sempre SkipReason.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected
  • Skipped

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Valores possíveis:

  • DetectedFileFormat
  • DetectedFileName
  • DetectedFileSize

cs4Label

O valor é sempre DetectedEntity.

outcome

Status da verificação. Valores possíveis:

  • NotScanned
  • BasesError
  • Clean
  • SizeExceeded
  • BannedFileName
  • BannedFileFormat
  • Error

reason

Motivo do evento. Valores possíveis:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Número de objetos infectados.

cn1Label

O valor é sempre ObjectsNumber.

cn2

Tamanho do arquivo bloqueado.

cn2label

O valor é sempre DetectedFileSize.

cs3

Arquivos não verificados.

cs3Label

O valor é sempre AvExclude.

cs4

Lista de nomes de ameaças detectadas.

cs4Label

O valor é sempre Threats.

cs5

Nome do arquivo bloqueado.

cs5Label

O valor é sempre DetectedFileName.

cs6

Formato do arquivo bloqueado.

cs6Label

O valor é sempre DetectedFileFormat.

outcome

Status da verificação. Valores possíveis:

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

Motivo do evento. Valores possíveis:

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Ação final que foi executada na mensagem. Valores possíveis:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

reason

Motivo do evento. Valores possíveis:

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MaliciousLink

Cada classe de eventos de grupo ScanLogic pode conter apenas as chaves relevantes para ela (consulte a tabela abaixo).

Chaves relevantes para classes de eventos de grupo ScanLogic

Classe de evento

Chaves relevantes

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, act, fsize, suser, duser, reason

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome

LMS_EV_SCAN_LOGIC_AP_STATUS

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label

Caso o status avStatus = Infected ou avStatus = Disinfected seja indicado no campo da parte mime em um evento LMS_EV_SCAN_LOGIC_PART_RESULT, a lista disinfectedObjects ou deletedObjects será indicada como o valor da chave cn1 se uma dessas listas estiver disponível. Caso ambas as listas não estejam vazias, as chaves cn1 e cn1Label serão adicionadas duas vezes.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.