Come posso rilevare in modo proattivo gli account di Exchange 2010 compromessi?

Abbiamo avuto problemi con account di Exchange compromessi che inviano e-mail malevoli tramite SMTP e OWA.

Sembra che molti di questi conti siano stati compromessi tramite tentativi di phishing in arrivo. Attualmente stiamo implementando qualcosa per stringere la nostra protezione contro quelle.

  • Opzione di backup libero / conveniente di scambio?
  • MailboxExportRequest ContentFilter è "Ricevuto -ne $ null" quando si interroga per data
  • Come aumentare la dimensione del swap?
  • Miglior client di crittografia per Outook 2007 / Exchange?
  • Utenti esterni o365 ricevono il text in chiaro
  • Puoi rispondere a each posta elettronica con una "mailbox non è più in servizio"?
  • Ora vogliamo esaminare modi più proattivi per individuare i conti compromessi. Alcuni pensieri non sconvolti:

    • monitoraggio della coda di posta in output per attività sospette
    • verificando l'accesso da indirizzi IP stranieri nei registri IIS
    • tasso di limitazione degli accessi (block automatico dell'account?)
    • limitare la posta elettronica (block automatico del conto?)

    Se qualcuno ha implementato qualcosa di simile, qualunque suggerimento o prodotto utilizzato? In che modo hai provato a rilevare in modo proattivo gli account di Exchange (o AD) compromessi?

    One Solution collect form web for “Come posso rilevare in modo proattivo gli account di Exchange 2010 compromessi?”

    Questo è solitamente qualcosa di meglio risolto utilizzando una soluzione di logging centralizzata. In questo modo è ansible gestire l'individuazione e l'intelligenza senza compromettere i servizi di mailing. Quanto esattamente vengono implementati, variano in modo significativo con la tua soluzione di logging, ma qualsiasi moderatore di log dovrebbe consentire l'avviso. I methods più riusciti che ho visto implementato sono:

    • Accesso da X paesi entro Y ore. I valori utilizzati per X e Y possono variare, ma un buon senso prevalterà. Ad esempio, 2 paesi entro 4 ore sono probabilmente abbastanza sicuri per un'organizzazione negli Stati Uniti centrali, ma possono essere più rumorosi per un'azienda vicino a un border in Europa.
    • Accesso da indirizzi IP X entro i minuti Y. La maggior parte delle persone in questi giorni avrà 2-4 dispositivi con configuration e-mail configurata; desktop, laptop, telefono, tablet. Alcuni di più, alcuni less. Entrambi i valori dipendono fortemente dalla base utente. Un buon punto di partenza può essere 3 dispositivi e 10 minuti.
    • Accesso per gli utenti X da un indirizzo IP. Usando un 1-to-1 è di solito abbastanza buono qui. Tieni presente che questo si spegnerà se hai condiviso le cassette postali configurate come account separato e sono configurati come utenti separati. Se si dispone di una VPN o di un proxy, verranno visualizzati anche questa bandiera. Quindi preparatevi a sisthemes di whitelist.

    Tieni presente che il modo migliore per impedire alle parti dannose di accedere a un account compromesso è quello di non consentire l'accesso al sistema di posta in primo luogo. Se è ansible limitare l'accesso a OWA o EWS alla propria organizzazione, utilizzando un VPN per lavoratori esterni, allora sei in una posizione molto migliore fin dall'inizio.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.