服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何主动检测受感染的Exchange 2010帐户?
Intereting Posts
在Postgresql中诊断/logging可能的连接权限问题 在Apache中,我如何configuration一个子URLredirect到socket.io? 我无法在AWS IAM上上传服务器证书 分区两个表 Azure协议栈中的BGPNAT01的networkingIP地址(开发工具包) 我如何看一个端口是否在Windows机器上使用? 有没有办法让Debian 8上的ClamAV更新? 简单的挖掘输出? 在使用MariaDB 10.0replacemySQL 5.7后,mysql_upgrade在Event Scheduler上失败 思科networking交换机 configuration无法validation – 用户名或密码是否错误? 从Thunderbird与Ubuntu服务器16.04上的Postfix和Dovecot 在64位Windows和Linux计算机上运行一个SSD上的WAMP(XAMPP)和LAMP 你可以lockingCpanel / WHM访问某些IP? 这些奇怪的访问请求是什么? EC2实例总是要求我在连接期间为peminput密码

如何主动检测受感染的Exchange 2010帐户?

我们已经通过SMTP和OWA发送恶意电子邮件的Exchange帐户被泄露的问题。

似乎很多这些帐户都是通过钓鱼攻击企图入侵的。 目前我们正在部署一些东西来加强对这些人的保护。

我们现在想要探索更主动的方式来检测被盗用的帐户。 一些没有被抛出的想法出现了:

  • 监视传出邮件队列的可疑活动
  • 检查IIS日志中的外部IP地址的login
  • 限速login(自动locking帐户?)
  • 限速电子邮件(自动locking帐户?)

如果有人执行了这样的事情,你使用的任何提示或产品? 您还试图主动检测受损的Exchange(或AD)帐户?

这通常是使用集中式日志解决scheme更好地解决的问题。 这样,您就可以在不影响邮件服务的情况下将检测和智能排除在外。 它们的实现方式与日志logging解决scheme的差异很大,但是任何现代日志收集器都应该允许警报。 我见过的最成功的方法是:

  • Y小时内从X个国家login。 您用于XY的值可能会有所不同,但一些常识将占上风。 例如,4个小时内有2个国家可能对美国中部的一个组织来说是相当安全的,但对于欧洲边界附近的一家公司可能会更加嘈杂。
  • Y分钟内从X IP地址login。 大多数人现在将有2-4个设备configuration了电子邮件; 桌面,手提电脑,手机,平板电脑。 多一些,less一些。 这两个值将在很大程度上取决于您的用户群。 一个好的起点可能是3个设备和10分钟。
  • 从1个IP地址loginX个用户。 在这里使用1比1通常是相当不错的。 请记住,如果您将共享邮箱configuration为单独的帐户并将其configuration单独的用户, 则会触发此操作。 如果你有一个VPN或代理,你也会经常看到这个标志。 所以准备好白名单系统。

请记住,防止恶意用户访问被盗用帐户的最佳方式是首先不允许访问您的邮件系统。 如果您可以限制您的组织使用OWA或EWS,那么从一开始就可以使用VPN来实现外部工作。