导读
# 概述
IT运维分析解决方案(以下简称ITOA)基于微软活动目录账号及Exchange邮件系统,针对AD账号的验证行为、操作行为及特权账号的操作行为进行分析,通过内置的告警机制,提前通知管理人员进行干预,防止安全事故的发生。同时针对Exchange的客户端登录行为、邮件流、邮件收发量、邮件队列、容量规划等方面进行分析,确保邮件系统的安全运行以及用户邮箱的安全。
# AD账号运维分析
活动目录安全是企业身份信息安全的核心。在所有部署了活动目录的企业中,可以说,只有对活动目录中的账号进行了安全管理,那么才可以保证用户的身份信息安全。本方案模块在AD账号的验证行为、AD账号的操作行为以及AD特权账号的操作行为这三个方面进行审计分析,并通过告警机制主动通知相关管理人员进行预防、检测、纠正等控制措施。
| 模块名称 | 风险识别 | 控制措施 | 措施类型 |
|---|---|---|---|
| AD账号验证行为分析 | 内部或外部的暴力破解 | 从暴力破解初期即可获得主动告警和干预 | 预防性措施 |
| AD账号操作行为分析 | 人为或非人为的误操作 | 对误操作的账号进行追溯和纠正 | 纠正性措施 |
| AD特权账号操作行为分析 | 非授权人的临时提权,收权遗漏 | 对特权账号进行实时检查和追溯 | 检测性措施 |
# AD账号验证行为分析
在部署了活动目录的企业中,AD验证无处不在。从用户登录终端开始工作到管理员登录服务器进行维护工作,从用户登录企业内部各类应用系统到服务器请求各种类型的活动目录验证,都会触发AD验证。同时企业不可避免的需要将一些应用系统发布到互联网上,以此来支持远程用户的身份验证。这些行为都将给一些病毒、木马和黑客程序的暴力破解带来方便。
因此,对企业的AD验证行为的分析变得迫切而重要。
通过对AD日志的收集和分析,可以对某一时间段多次验证失败的AD账号进行主动告警,通知用户或管理员对该攻击进行干预
# AD账号操作行为分析
对于单个AD账号,新建、编辑、移动、禁用、改密和锁定在内的整个生命周期的操作都可以记录下来,并很方便的进行追溯和审计,满足企业对于账号的审计要求。
修改密码的操作行为
账号编辑的操作行为
账号删除的操作行为
# AD特权账号操作行为分析
在活动目录中,对特权账号的管理即是对某些特殊授权的AD组(例如Domain Admins组)的成员进行管理。因此,这些拥有特权的AD组的成员将成为重点审计对象。
特权组成员变化的操作行为
# Exchange运维分析
Exchange邮件系统作为企业核心的通讯平台,在日常的运维过程中,企业往往需要对用户的登录行为、邮件流的投递过程、邮件收发量、邮件服务器关键指标以及管理员的操作行为进行额外的关注和审计。
# 邮件客户端登录行为分析
与AD验证行为不同,邮件客户端登录行为除了需要关注身份验证信息以外,还需要关注使用的客户端设备和地理位置,以便用户和管理员识别非授权的用户登录。
对邮件客户端的登录行为进行分析,可以识别以下风险并通知到用户:
- 一段时间的多次登录失败信息:可能存在暴力破解,通过邮件提醒用户;
- 客户端连接的地理位置信息发生异常变化:可能存在密码泄漏,通过邮件提醒用户;
- 客户端新设备的连接信息:可能存在密码泄漏,通过邮件提醒用户。
OWA登录失败行为(AD验证失败,账号锁定)
异地登录提醒
新设备接入提醒
除上述行为外,管理员还可以关注到邮件客户端的其他信息,便于管理员排查问题:
- 客户端连接数量和协议:当前的连接数量和协议与历史同期比较,可以让管理员初步判断是否存在连接攻击;
- 长时间未登录邮箱:通过最后一次登录时间筛选出长时间未登录的邮箱,可以让管理员判断是否有异常情况(例如遗漏删除)。
# 邮件流分析
在企业中,用户经常会遇到发送邮件对方未收到或者退信,或者接收邮件未收到的情况。邮件系统管理员往往需要在邮件流的各个节点(例如邮件服务器、邮件网关、邮件中继等)进行问题排查,费时费力且收效甚微。
通过本方案的邮件流分析模块,可以将一封邮件的来龙去脉通过简单的步骤和方式展现出来,应用场景如下:
- 用户发送邮件失败(对方未收到且退信):通过邮件流信息和退信内容,可以帮助管理员定位退信原因(邮箱不存在、邮箱已满、被对方服务器拒绝等等);
- 用户发送邮件失败(对方未收到且无退信):通过邮件流信息,可以帮助管理员判断邮件是否投递出局;
- 用户接收邮件失败(用户未收到):通过追踪邮件流信息,可以帮助管理员判断该邮件是否入局,且失败在哪个节点;
- 用户接收邮件延迟(用户已收到):通过追踪邮件流信息,分析定位每个节点间的投递时间,帮助管理员定位延迟的原因。
# 邮件收发量分析
企业邮件系统往往会收到来自某特定IP或者邮件地址的大量垃圾邮件,这些垃圾邮件很有可能未被邮件网关识别而进入用户邮箱。通过对邮件收取量的分析,可以快速定位哪个外部IP或者邮箱存在嫌疑,并主动采取控制措施。同样,内部用户由于特殊需要,也会发送大量的邮件。通过邮件发送量的分析,也可以用于考核该用户的工作绩效。
- 一段时间内发送邮件最多的用户列表:可用于分析用户的发送邮件行为,是否符合业务预期(例如客服邮箱);
- 一段时间内发送邮件最多的目标邮局(邮件系统):可分析业务往来最密切的企业,是否符合业务预期;
- 一段时间内接收邮件最多的用户列表:可用于分析用户的接收邮件行为,是否符合业务预期(例如招聘邮箱);
- 一段时间内接收邮件最多的来源邮局(邮件系统):可分析业务往来最密切的企业,是否符合业务预期;
# 邮件队列分析
企业的邮件管理员往往比较忽视对于邮件队列的监控和管理。即使在业务繁忙时段,用户发送的大量邮件需要在队列中等候较长的时间,但终究会处理完毕。但是在某些特殊情况下,例如某外部邮局(邮件系统)故障无法接收邮件时,该域名下的队列将会积累相当长的时间。这时就需要管理员进行干预,提早告知用户。
邮件队列分析模块将会实时展现当前队列的数据,通过与历史数据相比,帮助管理员排查相关故障。
# 容量分析
容量分析模块将对邮件系统内的数据库的容量进行实时监控和分析,与历史数据相比,帮助管理员进行扩容决策。同时也对用户的邮箱容量进行监控和分析,与历史数据相比,可帮助管理员排查是否有异常(例如短时间暴增或暴减)。
# 监控大屏
对于邮件系统运维分析过程中采集和分析的数据,可以根据客户的实际需求,挑选最为关心的内容,统一展现在监控大屏上。监控大屏的优势在于可以运用可视化的数据展现方式,在一个屏幕中,直观、美观、精准地展现企业最需要的数据内容。
# 服务器运维分析
除了上述AD与Exchange服务器的运维分析以外,本方案还对常规Windows平台的服务器提供基础的运维与分析功能。
# 关键指标监控
服务器的关键指标监控是指对性能指标(如CPU占用率、内存使用率、磁盘使用时间、网络占用率等)、容量指标(磁盘空间)和关键服务(用户可自定义服务对象)进行监控和分析。
# 日志集中存储和分析
将服务器上的日志按照应用、安全和系统进行分类并集中存储,对于持续的告警和错误日志,进行合并展现,并主动通知管理员。这些日志将会被永久归档,以符合企业安全审计合规要求。
# 服务器远程管理
通过HTML5/TLS技术和基于保险箱的密钥管理技术,实现安全、轻量、便捷的远程管理方式。与其他堡垒机产品相同,提供录屏审计功能。
服务器远程管理列表
通过HTML网关安全的连接至目标服务器
提供录屏审计功能
← HR-AD 账号同步 安全相关 →