Ferramentas de monitoramento de security do Exchange

Estou tentando identificair ferramentas que podem executair o monitoramento de security do Exchange. Idealmente, as ferramentas devem ser capazes de pegair coisas como:

  • permissão paira checkboxs de correio de alto risco
  • várias conexões paira a mesma checkbox de correio

Pontos de bônus se puderem ser implantados sem grande reconfiguration de troca.

Existe algo como isso?

Se você estiview executando o Exchange 2010, você deve view a Visão geral do registro de auditoria do administrador . Você diz ao Exchange o que os cmdlets devem auditair e registrairá vários bits relevantes de informações. Ele também suporta combinações curinga em nomes de cmdlet. Como tudo no Exchange 2010 (incluindo a GUI) usa cmdlets, você não pode contornair a auditoria.

Se você instalou o Exchange 2010 SP1 (em oposition à atualização do Exchange 2010 RTM), o registro de auditoria de administrador já está ativado por padrão. Se você precisair ativair isso, execute Set-AdminAuditLogConfig -AdminAuditLogCmdlets * .

Quanto à sua segunda pergunta, não acho que você possa conseguir essa. O Outlook sozinho cria mais do que o seu justo compairtilhamento de conexões paira sua checkbox de correio e alguns plugins desonesto do Outlook criam ainda mais , o que você pode saber se você já teve o problema "32 conexões máximas". Mesmo se você conseguiu descobrir quais conexões pertenciam a uma "session" específica, você já abriu acidentalmente uma nova instância do Outlook enquanto ela já está aberta? Isso vai triggersr seu alairme.

Você também não conta com a infinidade de maneiras em que o Exchange permite que você consiga sua checkbox de correio. Eu tenho um laptop, mas muitas vezes me encontro em uma área de trabalho sepairada em nossa sala de construção por algumas horas, e também vou querer meus e-mails. Eu também tenho o meu telefone conectado pelo ActiveSync e eu checo o OWA do meu laptop pessoal quando não consigo incomodair a inicializair meu laptop de trabalho e conectair a VPN paira fazer uma resposta rápida a um e-mail à noite. Menos comum, mas acontece, eu também tenho um utilitário que eu escrevi que usa os Serviços da Web do Exchange paira acessair coisas na minha checkbox de correio. Se o access POP3 ou IMAP tiview sido ativado, são mais duas maneiras de acessair sua checkbox de correio que potencialmente irá triggersr seu alairme.

Editair: eu esqueci completamente sobre delegates e itens compairtilhados. Se, por exemplo, alguém tiview uma secretária com access delegado a uma checkbox de correio, isso irá mostrair como mais conexões paira uma checkbox de correio específica. O Exchange também habilita os users a compairtilhair coisas entre si, sem a intervenção do administrador. Todos os contatos compairtilhados e os calendars compairtilhados que você realizou tornairão o monitoramento deste um pesadelo absoluto.