在企業(yè)的辦公環(huán)境中，電子郵件是主要的溝通方式之一，在一段時(shí)間內(nèi)電子郵件并不會(huì)消失，因?yàn)槊總€(gè)人都在使用它。

不幸的是，它恰好也是攻擊者的主要入口點(diǎn)，據(jù)統(tǒng)計(jì)每一百封電子郵件中就有一封是惡意郵件，從表面上看似乎不是一個(gè)很龐大的數(shù)字，當(dāng)全球每天發(fā)送數(shù)十億封電子郵件時(shí)，惡意郵件的數(shù)量就會(huì)變的很龐大。受害者只需與惡意電子郵件進(jìn)行一次交互，攻擊者就可以通過惡意電子郵件對目標(biāo)造成重大經(jīng)濟(jì)損失。

數(shù)據(jù)驅(qū)動(dòng)安全，日志服務(wù)無論在事前安全監(jiān)控方面還是在事后對安全事件進(jìn)行審計(jì)分析與溯源定位，都扮演著重要的角色。筆者將結(jié)合一次企業(yè)郵件安全事件的實(shí)際工作經(jīng)驗(yàn)與各位分享郵件系統(tǒng)日志數(shù)據(jù)的安全審計(jì)分析與應(yīng)用，以供探討。

事件描述：

某企業(yè)客戶幾天來，幾乎每個(gè)員工都收到了跟企業(yè)業(yè)務(wù)相關(guān)的詐騙郵件，反垃圾郵件網(wǎng)關(guān)失效，攻擊源無法找到。

事件分析：

該用戶用的反垃圾郵件網(wǎng)關(guān)是業(yè)界知名品牌，特征庫也更新到最新，日志中也無異常報(bào)警，因此分析應(yīng)該是內(nèi)網(wǎng)終端發(fā)送詐騙郵件。

解決思路：

該企業(yè)采用的是Windows版的Exchange郵件服務(wù)器，將郵件服務(wù)器的Exchange的日志，包含windows安全日志、郵件追蹤日志、郵件網(wǎng)關(guān)日志、安全設(shè)備日志收集到日志易分析平臺(tái)，找出近期發(fā)郵件最多的用戶，斷網(wǎng)禁用，問題應(yīng)該就解決了。

操作步驟：

第一步：

收集日志

第二步：

對日志數(shù)據(jù)進(jìn)行進(jìn)行加工及解析，解析后的日志數(shù)據(jù)更利于郵件系統(tǒng)安全審計(jì)分析與應(yīng)用。

                                                                                 (解析后的數(shù)據(jù))

第三步：通過提取郵件系統(tǒng)日志中的關(guān)鍵字進(jìn)行統(tǒng)計(jì)分析

選取“時(shí)間”、“郵件主題”、“發(fā)件人”、“收件人”等關(guān)鍵字段，利用日志分析工具對數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì)，通過日志分析平臺(tái)對郵件收發(fā)進(jìn)行追蹤查詢。

                                                                   （可疑用戶轉(zhuǎn)發(fā)郵件主題分析）

                                                                （可疑用戶對內(nèi)用戶發(fā)送可疑郵件）

經(jīng)過分析，發(fā)現(xiàn)兩個(gè)用戶對內(nèi)網(wǎng)中其他用戶發(fā)送多封可疑郵件主題行為，斷定這兩臺(tái)電腦已經(jīng)感染惡意程序，用專業(yè)版安全軟件對這兩臺(tái)電腦進(jìn)行深度查殺之后，問題解決。

總結(jié)

日志數(shù)據(jù)是運(yùn)維的必要手段之一，準(zhǔn)確及時(shí)地分析日志，從日志中發(fā)現(xiàn)黑客攻擊的痕跡，后續(xù)的預(yù)警、處置和溯源才有據(jù)可循。有效日志分析也能及早阻斷或擊退黑客的攻擊，逼其放棄嘗試或者轉(zhuǎn)移攻擊目標(biāo)。因此，日志的快速處理及分析至關(guān)重要。普惠數(shù)碼擁有多家金融機(jī)構(gòu)和大型企業(yè)日志分析部署經(jīng)驗(yàn)，并且積累了上百種安全分析場景，想要了解更詳細(xì)的信息，可在文章下方留言哦。