Isso geralmente é algo melhor resolvido usando uma solução de registro centralizado. Dessa forma, você pode extrair a detecção e a inteligência sem afetar os serviços de correspondência. Como exatamente eles são implementados irá variar significativamente com sua solução de log, mas qualquer coletor de log moderno deve permitir alertas. Os métodos mais bem sucedidos que vi implementados são:
- Logins de países X dentro de Y horas. Os valores que você usa para X e Y pode variar, mas algum senso comum prevalecerá. Por exemplo, 2 países em 4 horas provavelmente serão bastante seguros para uma organização nos EUA centrais, mas podem ser mais barulhentos para uma empresa perto de uma fronteira na Europa.
- Logins de X endereços IP dentro de Y minutos. A maioria das pessoas atualmente terá de 2 a 4 dispositivos com e-mail configurado; desktop, laptop, telefone, tablet. Mais alguns, alguns menos. Ambos os valores dependem muito da sua base de usuários. Um bom ponto de partida pode ser de 3 dispositivos e 10 minutos.
- Logins para usuários X de 1 endereço IP. Usar um 1 para 1 geralmente é muito bom aqui. Tenha em mente que isso será acionado se você tiver caixas de correio compartilhadas configuradas como contas separadas e elas estiverem configuradas como usuários separados. Se você tiver uma VPN ou proxy, também verá essa bandeira com frequência. Portanto, esteja preparado para os sistemas de lista de permissões.
Tenha em mente que a melhor maneira de impedir que partes mal-intencionadas acessem contas comprometidas é não permitir o acesso ao seu sistema de e-mail. Se você puder restringir o acesso ao OWA ou EWS à sua organização, usando uma VPN para funcionários externos, então você estará em uma posição muito melhor desde o início.