您现在的位置 : 首页 > 经典项目 > 实战:通过日志分析解决邮件安全事故
事件描述
某企业客户几天来,几乎每个员工都收到了跟企业业务相关的诈骗邮件,反垃圾邮件网关失效,攻击源无法找到。该用户用的反垃圾邮件网关是业界知名品牌,特征库也更新到最新,日志中也无异常报警,因此分析应该是内网终端发送诈骗邮件。
解决思路
该企业采用的是Windows版的Exchange邮件服务器,将邮件服务器的Exchange的日志,包含windows安全日志、邮件追踪日志、邮件网关日志、安全设备日志收集到日志易分析平台,找出近期发邮件最多的用户,断网禁用,问题应该就解决了。
第一步:收集日志
第二步:对日志数据进行进行加工及解析,解析后的日志数据更利于邮件系统安全审计分析与应用。
第三步:通过提取邮件系统日志中的关键字进行统计分析,利用日志分析工具对数据进行分析统计,通过日志分析平台对邮件收发进行追踪查询。
经过分析,断定这两台电脑已经感染恶意程序,用专业版安全软件对这两台电脑进行深度查杀之后,问题解决。
总结
日志数据是运维的必要手段之一,准确及时地分析日志,从日志中发现黑客攻击的痕迹,后续的预警、处置和溯源才有据可循。有效日志分析也能及早阻断或击退黑客的攻击,逼其放弃尝试或者转移攻击目标。因此,日志的快速处理及分析至关重要。普惠数码拥有多家金融机构和大型企业日志分析部署经验,并且积累了上百种安全分析场景,想要了解更详细的信息,可在文章下方留言哦。
