1.部署方式有两种,一,纯软件,客户提供云服务器或者主机,二:我们可以提供软件+硬件,系统需要接入的数据(邮箱的登录日志,邮件收发日志)登录协议包括四种:imap,pop3,smtp,web.
2. 邮件安全的邮件投递告警,里面的邮件,比如:外语邮箱发送 重要邮件为主题,发送给很多人,几十人,绝大部分都是有问题的。虽然是低危的等级,但是如果一个ip分布式暴力破解,在一天内登录一个邮箱几百次,登录失败。
3.分析IP 要分析最近的。如果是国内的IP 我们认为有问题, 可以报给各省的安全厅,这些IP 可能被各省的情报机关打了点,利用国内的IP 对国内的重要单位发起攻击,先ping 一下,看这个ip 存活不存活,然后再扫一下,nmap -sS -vv 119.249.54.39 微步在线的分析只能拿来参考,不一定准,分析有没有问题,主要看ip 的描述,看开了哪些端口,高级搜索也可以搜,有表格展示,也可以图形展示。设置可以选择(国家,email, status,protocol,sip,login_count,time)
4. 也可以再关联查询,自关联来查-高级搜索- 里面来选择,主字段(可以是Login_email) 关联字段(login_status)
关联查询 自关联 login_status:"success" login_status:"fail" 类别要选择1 主字段:sip 关联字段login_status 标记上面有红*是已经入了我们的威胁情报库。
login_email:"邮箱名称" 先ping 然后微步看一下,
cntd_data_mail_login 科研单位
实时分布式暴力破解(多邮箱) 护网时候做的功能,一天跑一次,自己设置时间。