1. ชื่อฐานข้อมูล Signature : SMTP Send Mail Data Traffic
หมายเลข : NDM001
วันที่ติดตั้งฐานข้อมูล : 06/11/07
ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้งานส่งอีเมลล์
ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น
Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์
What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์
Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)
When : ทราบถึงเวลาการใช้งาน
Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ
ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการส่งอีเมลล์ (Send E-mail)

ภาพการวิเคราะห์ Log การส่ง E-mail

2. ชื่อฐานข้อมูล Signature : POP3 Receive Mail Data Traffic
หมายเลข : NDM002
วันที่ติดตั้งฐานข้อมูล : 06/11/07
ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้รับอีเมลล์

3.เก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้
– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP
– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP
– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note
และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ
Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์
What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์
Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)
When : ทราบถึงเวลาการใช้งาน
Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ
โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language)

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา
Read Full Post »