侵害されたExchange2010アカウントを事前に検出するにはどうすればよいですか?
侵害されたExchangeアカウントがSMTPおよびOWAを介して悪意のある電子メールを送信する問題が発生しました。
これらのアカウントの多くは、フィッシングの試みによって侵害されたようです。現在、それらに対する保護を強化するために何かを展開しています。
ここで、侵害されたアカウントを検出するためのより積極的な方法を検討したいと思います。思いついたいくつかのハッシュ化されていない考え:
- 疑わしいアクティビティがないか送信メールキューを監視する
- IISログで外部IPアドレスからのログインを確認する
- レート制限ログオン(アカウントの自動ロック?)
- レート制限メール(アカウントの自動ロック?)
誰かがこのようなものを実装した場合、あなたが使用したヒントや製品はありますか?侵害されたExchange(またはAD)アカウントをプロアクティブに検出しようとした他の方法はありますか?
これは通常、集中ログソリューションを使用してより適切に解決されます。そうすれば、メールサービスに影響を与えることなく、検出とインテリジェンスを強化できます。それらがどの程度正確に実装されるかは、ロギングソリューションによって大幅に異なりますが、最新のログコレクターはアラートを許可する必要があります。私が実装した中で最も成功したメソッドは次のとおりです。
- ログイン[〜#〜] x [〜#〜]国[〜#〜] y [〜#〜]時間[〜#〜] x [〜#〜]と[〜#〜] y [〜#〜]に使用する値は異なる場合がありますが、いくつかの常識が優先されます。たとえば、4時間以内の2か国は、米国中部の組織にとってはかなり安全である可能性がありますが、ヨーロッパの国境近くの企業にとってはより騒がしい可能性があります。
- [〜#〜] x [〜#〜]からのログイン[〜#〜] y [〜#〜]分以内のIPアドレス。最近のほとんどの人は、電子メールが構成された2〜4台のデバイスを持っています。デスクトップ、ラップトップ、電話、タブレット。もう少し、もう少し。どちらの値も、ユーザーベースに大きく依存します。適切な出発点は、3台のデバイスと10分です。
- ログイン[〜#〜] x [〜#〜] 1つのIPアドレスからのユーザー。 1対1を使用することは通常ここではかなり良いです。これに注意してくださいwill個別のアカウントとして構成されている共有メールボックスがあり、それらが個別のユーザーとして構成されている場合は起動しますas。 VPNまたはプロキシを使用している場合は、この1つのフラグも頻繁に表示されます。したがって、システムをホワイトリストに登録する準備をしてください。
悪意のある第三者が侵害されたアカウントにアクセスするのを防ぐ最善の方法は、そもそもメールシステムへのアクセスを許可しないことであることに注意してください。外部ワーカー用のVPNを使用して、OWAまたはEWSへのアクセスを組織に制限できる場合は、最初からmuchより良い位置にいます。