ตรวจลักษณะการใช้งาน Lotus Note Mail

มีหลายองค์กรที่ใช้ Lotus Note Mail ทางทีมวิจัยและพัฒนา SRAN จึงได้เขียน Rule เพื่อจับลักษณะการใช้งาน Lotus Note ขึ้นโดยใช้หลักพิจารณาตามห่วงโซ่เหตุการณ์ (Chain of Event) คือ

Who : Mail ID , Subject Mail (อยู่ในระหว่างการพัฒนา)

What : ลักษณะการใช้งาน Lotus Note Mail , ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์ ส่วนใหญ่เป็นการส่งไปที่ Mail Server ที่เป็น Lotus Notes

Where : ไอพีต้นทาง (Source IP) และ Source Port , ไอพีปลายทาง (Destination IP) และ Destination Port

When : วันและเวลา

Why (How) : เป็นลักษณะการใช้งานที่เป็นการบุกรุก หรือ เป็นการใช้งานปกติ (ดูจากสีของ event ที่ปรากฏในหน้าจอ SRAN)

รูป สรุปการใช้งาน e-mail ภายในองค์กร

รูปหน้าจอที่แสดงผลการตรวจลักษณะการใช้งาน Lotus Note Mail โดยทำการเก็บบันทึกการใช้งาน IP ต้นทาง ปลายทาง ช่วงเวลาที่ใช้งาน

รูปแสดงค่า Payload ซึ่งแสดงความถูกต้องในการติดต่อสื่อสาร

Advertisements

Read Full Post »

SRAN ตรวจข้อมูล E-mail ที่เป็นภาษาญี่ปุ่น

ตอนนี้อุปกรณ์ SRAN Security Center ทุกรุ่นที่สามารถเก็บบันทึกข้อมูลได้อัตโนมัติ สามารถที่จะเก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้

– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP

– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP

– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note

และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language)

เป็นวิธีที่อำนวยความสะดวกและสามารถดูข้อมูลแบบเข้าใจง่ายกว่าวิธี syslog ทั่วไป

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา

Read Full Post »

SRAN ตรวจข้อมูล E-mail ที่เป็นภาษาญี่ปุ่น

ตอนนี้อุปกรณ์ SRAN Security Center ทุกรุ่นที่สามารถเก็บบันทึกข้อมูลได้อัตโนมัติ สามารถที่จะเก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้

– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP

– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP

– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note

และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language) เป็นวิธีที่อำนวยความสะดวกและสามารถดูข้อมูลแบบเข้าใจง่ายกว่าวิธี syslog ทั่วไป

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา

Read Full Post »

Mail

1. ชื่อฐานข้อมูล Signature : SMTP Send Mail Data Traffic

หมายเลข : NDM001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้งานส่งอีเมลล์

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการส่งอีเมลล์ (Send E-mail)

ภาพการวิเคราะห์ Log การส่ง E-mail

2. ชื่อฐานข้อมูล Signature : POP3 Receive Mail Data Traffic

หมายเลข : NDM002

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้รับอีเมลล์

3.เก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้

– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP

– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP

– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note

และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language)

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา

Read Full Post »