[Перевод ] Ищем, кто отправил письмо с общего почтового ящика. Используем журнал событий Microsoft Exchange

    Автор статьи — Paul Cunningham, обладатель статуса Microsoft MVP и нескольких сертификатов по Exchange Server 2007, 2010 and 2013. Paul также является издателем ресурса Exchange Server Pro.

    Оригинальный материал на английском языке.

    В годы моей работы администратором Exchаnge самым частым заданием из разряда «ктоэтосделал?!» было найти отправителя конкретного письма с общего почтового ящика.
    Представьте себе, что общий почтовый ящик «HelpDesk» используется большой командой ИТ-персонала и все эти сотрудники имеют разрешения на отправку писем от имени общей учетной записи (например, для того, чтобы отправлять оповещения об отключении или техническом обслуживании систем).
    В один из дней сотрудник службы поддержки, устав от рутинных операций, отправляет «гениальное» письмо в рассылку по всей компании, письмо получает негативный отклик.


    Задача в том, чтобы найти – кто именно отправил такой «подарок», решение можно найти разными способами: например, можно отследить ip-адрес, с которого было отправлено сообщение, затем сопоставить адрес с компьютером и найти пользователя. Можно также потратить время, проверяя вручную папки «Отправленные» у всех подозреваемых. Также неплохим вариантом остаётся задать вопрос, кто это сделал – иногда можно надеяться на честный ответ.

    В любом случае возможность определить отправителя по журналам событий Exchange не помешает, и хорошая новость заключается в том, что такая возможность есть! (в случае если у вас используется Microsoft Exchange 2010 SP1 или более поздняя версия, включая Exchange 2013). Нужная функция называется «mailbox audit logging», и плохая новость состоит в том, что она по умолчанию выключена. Как вы понимаете, функцию надо было включить до инцидента с письмом, в противном случае событие отправки не попадёт в журнал Exchange.

    Проводим поиск отправителя с помощью Центра администрирования Exchange

    В случае если функция «mailbox audit logging» была включена до инцидента, мы можем использовать Центр администрирования Exchange: необходимо выбрать пункт меню «Compliance Management» и далее «Auditing» в правой части экрана.


    Вы увидите список из нескольких пунктов, нас интересует «Run a non-owner mailbox access report»
    Установите необходимый интервал дат, нажмите на кнопку «select mailboxes…» и выберите общий почтовый ящик, затем выберите в списке «Search for access by:» внизу экрана значение «All non-owners» и запустите поиск! Если выбран большой интервал дат или в случае, если сотрудники активно используют отправку писем от имени общей учётной записи – вам придется проделать серьезную работу, чтобы докопаться до истины.



    Проводим поиск отправителя с помощью скрипта PowerShell

    Еще один способ установить отправителя заключается в использовании скрипта Search-MailboxAuditLog
    Например, для поиска в журнале событий, произошедших с 13 по 15 января 2014г. в общем почтовом ящике «HelpDesk» нужно использовать следующую команду:
    [PS] C:\>Search-MailboxAuditLog -Identity "Help Desk" -LogonTypes Delegate -StartDate 1/14/2014 -EndDate 1/15/2014
    RunspaceId               : d8142847-166a-488a-b668-f7b84c3f3ceb
    MailboxGuid              : a0f10db1-5268-47a5-8f71-d1e65f55c653
    MailboxResolvedOwnerName : Help Desk
    LastAccessed             : 14/01/2014 9:31:08 PM
    Identity                 : exchange2013demo.com/Company/Resources/Help Desk
    IsValid                  : True
    ObjectState              : New
    


    Мы увидим, что отметка о времени соответствует отправленному письму и, также, в консоль выводятся дополнительные сведения о произошедшем событии. Для того, чтобы увидеть все подробности нужно воспользоваться параметром «–ShowDetails»:

    Desk" -LogonTypes Delegate -StartDate 1/14/2014 -EndDate 1/15/2014 -ShowDetails
    RunspaceId                    : d8142847-166a-488a-b668-f7b84c3f3ceb
    Operation                     : SendAs
    OperationResult               : Succeeded
    LogonType                     : Delegate
    ExternalAccess                : False
    DestFolderId                  :
    DestFolderPathName            :
    FolderId                      :
    FolderPathName                :
    ClientInfoString              : Client=MSExchangeRPC
    ClientIPAddress               : 192.168.0.181
    ClientMachineName             :
    ClientProcessName             : OUTLOOK.EXE
    ClientVersion                 : 15.0.4551.1004
    InternalLogonType             : Owner
    MailboxOwnerUPN               : Sarah.Jones@exchange2013demo.com
    MailboxOwnerSid               : S-1-5-21-2175008225-1847283934-4039955522-1471
    DestMailboxOwnerUPN           :
    DestMailboxOwnerSid           :
    DestMailboxGuid               :
    CrossMailboxOperation         :
    LogonUserDisplayName          : Sarah Jones
    LogonUserSid                  : S-1-5-21-2175008225-1847283934-4039955522-1471
    SourceItems                   : {}
    SourceFolders                 : {}
    SourceItemIdsList             :
    SourceItemSubjectsList        :
    SourceItemFolderPathNamesList :
    SourceFolderIdsList           :
    SourceFolderPathNamesList     :
    ItemId                        :
    ItemSubject                   : Wheeee!
    DirtyProperties               :
    OriginatingServer             : E15MB1 (15.00.0775.022)
    MailboxGuid                   : a0f10db1-5268-47a5-8f71-d1e65f55c653
    MailboxResolvedOwnerName      : Help Desk
    LastAccessed                  : 14/01/2014 9:31:07 PM
    Identity                      : RgAAAAD2fF/dZobvQoWbbV7P6N7eBwD7Y5OF+DDRQZRz1a4+yUyzAABaldDBAAD7Y5OF+DDRQZRz1a4+yUyzAABaldDCAAAJ
    IsValid                       : True
    ObjectState                   : New
    


    Я описал эту распространенную ситуацию, чтобы продемонстрировать значимость и необходимость функции «mailbox audit logging», надеюсь, что вы задумаетесь о том, чтобы включить её в своей организации, по крайней мере для самых важных почтовых ящиков.
    ___

    Примечание:

    В статье описан аудит, доступный в Exchange 2013. К сожалению, для Exchange 2003/2007 такой детальный аудит доступа к почтовым ящикам недоступен.
    Для Exchange 2003 и 2007 отлично подходит один из модулей Netwrix Auditor. Программа предоставляет отчеты о попытках доступа (включая дату, время, список действий с объектами ящика). Программу можно протестировать онлайн, чтобы оценить ее возможности.

    Кроме того, для Exchange 2003, 2007 и 2013 есть модуль, который отражает информацию — кто именно назначил права пользователю на общий/чужой почтовый ящик. Протестировать и посмотреть примеры отчетов также можно онлайн в режиме тест-драйва.
    ___

    Вопрос к хабрасообществу: Приходилось ли разбирать инциденты доступа к чужим почтовым ящикам? Какими средствами пользовались?
    Netwrix
    Компания
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое