题 如何主动检测受感染的Exchange 2010帐户?


我们遇到了受损的Exchange帐户通过SMTP和OWA发送恶意电子邮件的问题。

似乎许多这些帐户都是通过传入的网络钓鱼攻击而受到攻击的。我们目前正在部署一些东西以加强对这些措施的保护。

我们现在想要研究更主动的方法来检测受损帐户。出现了一些没有删除的想法:

  • 监视外发邮件队列是否存在可疑活动
  • 检查IIS日志中的外部IP地址的登录
  • 限速登录(帐户自动锁定?)
  • 限速电子邮件(自动锁定帐户?)

如果有人实施了这样的东西,你使用的任何提示或产品?您是如何主动检测受损的Exchange(或AD)帐户的呢?


5
2018-05-14 14:38






答案:


使用集中式日志记录解决方案通常可以更好地解决这这样,您可以在不影响邮件服务的情况下提供检测和智能。它们的实现方式与您的日志记录解决方案有很大不同,但任何现代日志收集器都应该允许警报。我见过的最成功的方法是:

  • 登录 X 国内的国家 ÿ 小时。 您使用的值 X 和 ÿ 可能会有所不同,但一些常识会占上风。例如,4个小时内的2个国家对于美国中部的一个组织来说可能相当安全,但对于欧洲边境附近的公司来说可能会更加嘈杂。
  • 登录 X 内部的IP地址 ÿ 分钟。 如今大多数人都会有2-4个设备配置电子邮件;台式机,笔记本电脑,手机,平板一些更多,一些更少。这两个值在很大程度上取决于您的用户群。一个好的起点可能是3个设备和10分钟。
  • 登录 X 用户来自1个IP地址。 在这里使用1比1通常相当不错。请记住这一点  如果您具有配置为单独帐户的共享邮箱并且已配置它们,则触发  单独的用户。如果您有VPN或代理,您也会经常看到这个标志。所以要准备白名单系统。

请记住,防止恶意方访问受感染帐户的最佳方法是首先不允许访问您的邮件系统。如果您可以限制对组织的OWA或EWS访问,使用VPN为外部工作人员,那么您就是在 许多 从一开始就更好的位置。


5
2018-05-14 20:19



具有此类功能的产品的任何示例? - Belmin Fernandez
@ BeamingMel-Bin:我从事这类工作的经验来自SIEM市场。在这些日子之外,大多数日志聚合器应该能够做到这一点,例如splunk,graylog,logstash等。 - Scott Pack