Ferramentas de monitoramento de segurança do Exchange [closed]

5

Estou tentando identificar ferramentas que podem executar o monitoramento de segurança do Exchange. Idealmente, as ferramentas devem ser capazes de captar coisas como:

  • alterações de permissão para caixas de correio de alto risco
  • várias conexões para a mesma caixa de correio

Pontos de bônus se ele puder ser implantado sem uma grande reconfiguração de troca.

Existe algo parecido?

    
por Konrads 28.11.2011 / 20:11

1 resposta

5

Se você estiver executando o Exchange 2010, consulte a Visão geral do log de auditoria do administrador . Você diz ao Exchange quais cmdlets ele deve auditar e registrará vários bits relevantes de informações. Ele também suporta correspondências curinga nos nomes de cmdlets. Como tudo no Exchange 2010 (incluindo a GUI) usa cmdlets, não é possível contornar a auditoria.

Se você instalou o Exchange 2010 SP1 (em oposição à atualização do Exchange 2010 RTM), o log de auditoria do administrador já estará ativado por padrão. Se você precisar ativar isso, execute Set-AdminAuditLogConfig -AdminAuditLogCmdlets * .

Quanto à sua segunda pergunta, não acho que você será capaz de conseguir isso. Só o Outlook cria mais do que seu quinhão de conexões com sua caixa de correio, e alguns plugins duvidosos do Outlook criam ainda mais , o que você pode saber se já teve o problema de "32 conexões máximas". Mesmo se você conseguiu descobrir quais conexões pertenciam a uma "sessão" específica, você já abriu acidentalmente uma nova instância do Outlook enquanto ela já estava aberta? Isso vai atrapalhar seu alarme.

Você também não conta com as inúmeras maneiras pelas quais o Exchange permite que você chegue à sua caixa de correio. Eu tenho um laptop, mas muitas vezes me encontro em um desktop separado em nossa sala de construção por algumas horas, e também quero meus e-mails lá. Eu também tenho meu telefone conectado pelo ActiveSync, e eu verifico o OWA do meu laptop pessoal quando não posso ser incomodado para iniciar o meu laptop de trabalho e conectar a VPN para fazer uma resposta rápida a um e-mail à noite. Menos comumente, mas acontece, eu também tenho um utilitário que eu escrevi que usa o Exchange Web Services para acessar coisas na minha caixa de correio. Se o acesso POP3 ou IMAP tiver sido ativado, serão mais 2 maneiras de acessar sua caixa de correio, o que potencialmente tropeçará em seu alarme.

Editar: Esqueci completamente de delegados e itens compartilhados. Se, por exemplo, alguém tiver uma secretária com acesso delegado a uma caixa de correio, isso mostrará mais conexões a uma caixa de correio específica. O Exchange também permite que os usuários compartilhem coisas entre si, sem intervenção do administrador. Todos os contatos compartilhados e calendários compartilhados que você tem em andamento farão com que o monitoramento seja um pesadelo absoluto.

    
por 28.11.2011 / 21:01