Strumenti di monitoraggio della sicurezza di Exchange

Sto cercando di identificare strumenti che possono eseguire il monitoraggio della sicurezza di Exchange. Idealmente, gli strumenti dovrebbero essere in grado di raccogliere cose come:

  • modifiche di authorization per cassette postali ad alto rischio
  • più connessioni alla stessa cassetta postale

Bonus punti se può essere distribuito senza una riconfiguration più importnte dello scambio.

C'è qualcosa di simile?

  • Proteggere contro il divieto di mantenimento
  • Autenticazione di Windows 7 contro MIT Kerberos 5
  • Lista di controllo audit IT
  • Come proteggere i dati delle transactions sulla mia carta di credito dal server proxy hacker?
  • Come si imposta le regole di output con iptables (su Ubuntu)?
  • Bloccare GotoMyPc su ASA 5505
  • Le migliori pratiche per mantenere protette le versioni precedenti di RHEL?
  • È abbastanza sicuro per essere appeso alla WAN
  • One Solution collect form web for “Strumenti di monitoraggio della sicurezza di Exchange”

    Se si esegue Exchange 2010, è opportuno dare un'occhiata a Panoramica del registro di controllo amministratore . Dite a Exchange quale cmdlet dovrebbe controllare e registrerà vari bit di informazioni. Sostiene le corrispondenze di wildcard anche sui nomi cmdlet. Poiché tutto in Exchange 2010 (compresa la GUI) utilizza i cmdlet, non puoi cercare il controllo.

    Se è stato installato Exchange 2010 SP1 (a differenza dell'aggiornamento da Exchange 2010 RTM), la logging amministrativa di amministratore è già triggers per impostazione predefinita. Se è necessario triggersre questa Set-AdminAuditLogConfig -AdminAuditLogCmdlets * , eseguire Set-AdminAuditLogConfig -AdminAuditLogCmdlets * .

    Quanto alla seconda domanda, non credo che tu possa essere in grado di realizzarlo. La sola prospettiva crea più della sua parte equa delle connessioni alla propria cassetta postale, e alcuni plug-in di Outlook addizionali creano ancora di più , che potresti sapere se hai mai avuto il problema "32 connessioni massime". Anche se hai capito quali connessioni appartenessero ad una particolare "session", hai mai accidentalmente aperto una nuova istanza di Outlook mentre è già aperta? Questo ti farà scappare l'allarme.

    Inoltre, non contare sulla moltitudine di modi in cui Exchange ti permette di accedere alla cassetta postale. Ho un computer porttile, ma spesso mi trovo in un desktop separato nella nostra stanza di costruzione per poche ore, e voglio anche le mie email. Ho anche avuto il mio telefono collegato da ActiveSync e controlò OWA dal mio computer porttile quando non posso preoccuparmi di avviare il mio computer porttile e colbind la VPN per fare una risposta rapida a una email di sera. Meno comunemente, ma accade, ho anche un'utilità che ho scritto che utilizza Exchange Web Services per accedere a roba nella mia casella di posta. Se l'accesso POP3 o IMAP è stato abilitato, sono altri 2 modi per accedere alla tua casella postale che potenzialmente può spegnere l'allarme.

    Modifica: ho totalmente dimenticato i delegati e gli elementi condivisi. Se ad esempio qualcuno ha un segretario con accesso delegato a una cassetta postale, ciò mostrerà come più connessioni a una cassetta postale particolare. Exchange inoltre autorizza gli utenti a condividere le cose tra di loro, senza l'intervento di amministratore. Tutti i contatti condivisi ei calendari condivisi che hai in corso faranno che questo sia un incubo assoluto.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.