在企業(yè)的辦公環(huán)境中，電子郵件是主要的溝通方式之一，在一段時間內(nèi)電子郵件并不會消失，因為每個人都在使用它。

不幸的是，它恰好也是攻擊者的主要入口點，據(jù)統(tǒng)計每一百封電子郵件中就有一封是惡意郵件，從表面上看似乎不是一個很龐大的數(shù)字，當全球每天發(fā)送數(shù)十億封電子郵件時，惡意郵件的數(shù)量就會變的很龐大。受害者只需與惡意電子郵件進行一次交互，攻擊者就可以通過惡意電子郵件對目標造成重大經(jīng)濟損失。

數(shù)據(jù)驅(qū)動安全，日志服務(wù)無論在事前安全監(jiān)控方面還是在事后對安全事件進行審計分析與溯源定位，都扮演著重要的角色。筆者將結(jié)合一次企業(yè)郵件安全事件的實際工作經(jīng)驗與各位分享郵件系統(tǒng)日志數(shù)據(jù)的安全審計分析與應(yīng)用，以供探討。

事件描述：

某企業(yè)客戶幾天來，幾乎每個員工都收到了跟企業(yè)業(yè)務(wù)相關(guān)的詐騙郵件，反垃圾郵件網(wǎng)關(guān)失效，攻擊源無法找到。

事件分析：

該用戶用的反垃圾郵件網(wǎng)關(guān)是業(yè)界知名品牌，特征庫也更新到最新，日志中也無異常報警，因此分析應(yīng)該是內(nèi)網(wǎng)終端發(fā)送詐騙郵件。

解決思路：

該企業(yè)采用的是Windows版的Exchange郵件服務(wù)器，將郵件服務(wù)器的Exchange的日志，包含windows安全日志、郵件追蹤日志、郵件網(wǎng)關(guān)日志、安全設(shè)備日志收集到日志易分析平臺，找出近期發(fā)郵件最多的用戶，斷網(wǎng)禁用，問題應(yīng)該就解決了。

操作步驟：

第一步：

收集日志

第二步：

對日志數(shù)據(jù)進行進行加工及解析，解析后的日志數(shù)據(jù)更利于郵件系統(tǒng)安全審計分析與應(yīng)用。

                                                                                 (解析后的數(shù)據(jù))

第三步：通過提取郵件系統(tǒng)日志中的關(guān)鍵字進行統(tǒng)計分析

選取“時間”、“郵件主題”、“發(fā)件人”、“收件人”等關(guān)鍵字段，利用日志分析工具對數(shù)據(jù)進行分析統(tǒng)計，通過日志分析平臺對郵件收發(fā)進行追蹤查詢。

                                                                   （可疑用戶轉(zhuǎn)發(fā)郵件主題分析）

                                                                （可疑用戶對內(nèi)用戶發(fā)送可疑郵件）

經(jīng)過分析，發(fā)現(xiàn)兩個用戶對內(nèi)網(wǎng)中其他用戶發(fā)送多封可疑郵件主題行為，斷定這兩臺電腦已經(jīng)感染惡意程序，用專業(yè)版安全軟件對這兩臺電腦進行深度查殺之后，問題解決。

總結(jié)

日志數(shù)據(jù)是運維的必要手段之一，準確及時地分析日志，從日志中發(fā)現(xiàn)黑客攻擊的痕跡，后續(xù)的預(yù)警、處置和溯源才有據(jù)可循。有效日志分析也能及早阻斷或擊退黑客的攻擊，逼其放棄嘗試或者轉(zhuǎn)移攻擊目標。因此，日志的快速處理及分析至關(guān)重要。普惠數(shù)碼擁有多家金融機構(gòu)和大型企業(yè)日志分析部署經(jīng)驗，并且積累了上百種安全分析場景，想要了解更詳細的信息，可在文章下方留言哦。