La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría y análisis forense de correo electrónico con Exchange Server Joshua Sáenz G. www.saenzguijarro.com www.exchangespain.com.

Presentaciones similares


Presentación del tema: "Auditoría y análisis forense de correo electrónico con Exchange Server Joshua Sáenz G. www.saenzguijarro.com www.exchangespain.com."— Transcripción de la presentación:

1 Auditoría y análisis forense de correo electrónico con Exchange Server Joshua Sáenz G.

2 Agenda Introducción Introducción Retos y escenarios de auditoría y análisis forense de mensajería Retos y escenarios de auditoría y análisis forense de mensajería Novedades de auditoría en Exchange Server 2010 SP1 Novedades de auditoría en Exchange Server 2010 SP1 Auditoría y logging en Exchange Server 2010 Auditoría y logging en Exchange Server 2010 Configuración y Análisis de registros de Exchange Ser ver 2010 Configuración y Análisis de registros de Exchange Ser ver 2010 Informes de auditoría Informes de auditoría Retención por juicio (Legal Hold) Retención por juicio (Legal Hold) Journaling Journaling eDiscovery eDiscovery

3 Introducción

4 Introducción Retos y escenarios de auditoría y análisis forense de mensajería Retos y escenarios de auditoría y análisis forense de mensajería Fuga de información Fuga de información Falta de control interno Falta de control interno Pérdida de datos Pérdida de datos Espionaje industrial Espionaje industrial Incumplimiento de normativas y legalidad Incumplimiento de normativas y legalidad Ataques deliverados Ataques deliverados

5 Introducción ¿Que sucedería si se descubre una fuga de información, robo o espionaje industrial? ¿Que sucedería si se descubre una fuga de información, robo o espionaje industrial? Impacto en la credibilidad y la imagen Impacto en la credibilidad y la imagen Daño en la imagen pública de la organización Daño en la imagen pública de la organización La información filtrada al exterior puede poner en serios aprietos a la organización La información filtrada al exterior puede poner en serios aprietos a la organización Pérdida de competitividad Pérdida de competitividad La fuga de información de planes puede suponer una pérdida de inversionistas y cotización en bolsa La fuga de información de planes puede suponer una pérdida de inversionistas y cotización en bolsa Pérdida de capital intelectual, resultados de investigaciones u otros datos importantes para el negocio. Pérdida de capital intelectual, resultados de investigaciones u otros datos importantes para el negocio. Impacto legal y financiero Impacto legal y financiero Costes en juicios, indemnizaciones y abogados Costes en juicios, indemnizaciones y abogados Cada vez hay más regulación y es más estricta a nivel nacional e internacional Cada vez hay más regulación y es más estricta a nivel nacional e internacional

6 Introducción ¿Porqué es importante el cumplimiento legal? ¿Porqué es importante el cumplimiento legal? Las organizaciones deben proporcionar evidencias de litigio o documentación diversa a los organismos reguladores si se les solicita (incluidos los mensajes de correo electrónico). Las organizaciones deben proporcionar evidencias de litigio o documentación diversa a los organismos reguladores si se les solicita (incluidos los mensajes de correo electrónico). Un incumplimiento podría suponer una fuerte sanción, incluso la apertura de un proceso penal contra los responsables. Un incumplimiento podría suponer una fuerte sanción, incluso la apertura de un proceso penal contra los responsables. Por ello deben considerar el cumplimiento legal, la auditoría y la capacidad de análisis forense como parte de sus planes de infraestructuras, incluyendo el correo electrónico. Por ello deben considerar el cumplimiento legal, la auditoría y la capacidad de análisis forense como parte de sus planes de infraestructuras, incluyendo el correo electrónico.

7 Introducción Las organizaciones multinacionales deben considerar la legislación de cada país en donde tienen una sede. Las organizaciones multinacionales deben considerar la legislación de cada país en donde tienen una sede. Sarbanes-Oxley Act of 2002 (SOX) Sarbanes-Oxley Act of 2002 (SOX) Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4) Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4) National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110) National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110) Gramm-Leach-Bliley Act (Financial Modernization Act) Gramm-Leach-Bliley Act (Financial Modernization Act) Financial Institution Privacy Protection Act of 2001 Financial Institution Privacy Protection Act of 2001 Financial Institution Privacy Protection Act of 2003Health Insurance Financial Institution Privacy Protection Act of 2003Health Insurance Portability and Accountability Act of 1996 (HIPAA) Portability and Accountability Act of 1996 (HIPAA) Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (Patriot Act) Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (Patriot Act) European Union Data Protection Directive (EUDPD) European Union Data Protection Directive (EUDPD) Japans Personal Information Protection Act Japans Personal Information Protection Act Ley Orgánica de Protección de Datos (LOPD) Ley Orgánica de Protección de Datos (LOPD)

8 Novedades de auditoría en Exchange Server 2010 SP1

9 Registro de auditoría de administradores Registro de auditoría de administradores Registro de auditoría de buzones Registro de auditoría de buzones Retención por juicio de buzones (Legal / Litigation Hold) Retención por juicio de buzones (Legal / Litigation Hold) Funcionalidad e-discovery integrada Funcionalidad e-discovery integrada Registro en diario (Journaling) Registro en diario (Journaling) Bases de datos Bases de datos Buzón Buzón Carpetas personales Carpetas personales Informes de auditoría desde ECP Informes de auditoría desde ECP Informes de entrega de mensajes (Delivery Reports) Informes de entrega de mensajes (Delivery Reports) Simplificación de encabezados e informes de no entrega (Non Delivery Report) Simplificación de encabezados e informes de no entrega (Non Delivery Report)

10 Auditoría y logging en Exchange Server

11 Auditoría y logging en Exchange Server 2010 SP1 Exchange Server 2010 SP1 incluye mejoras en la auditoría de acciones realizadas por los administradores. Exchange Server 2010 SP1 incluye mejoras en la auditoría de acciones realizadas por los administradores. En conjunto se dispone de numerosos registros a la hora de realizar un análisis forense o una auditoría en la organización. En conjunto se dispone de numerosos registros a la hora de realizar un análisis forense o una auditoría en la organización. Registro de protocolo de transporte Registro de protocolo de transporte Registro de conectividad Registro de conectividad Registro de diagnósticos Registro de diagnósticos Registro de seguimiento de mensajes Registro de seguimiento de mensajes Registro de auditoría de administrador Registro de auditoría de administrador Registro de auditoría de buzones Registro de auditoría de buzones

12 Auditoría y logging en Exchange Server 2010 SP1 Registros de protocolo de transporte Registros de protocolo de transporte Constituyen una prueba fehaciente del envío o recepción de mensajes, ya que podemos confiar en nuestros servidores. Constituyen una prueba fehaciente del envío o recepción de mensajes, ya que podemos confiar en nuestros servidores. Representan los encabezados de enrutamiento (envelope) y el diálogo SMTP entre en último gateway y nuestro servidor o viceversa. Representan los encabezados de enrutamiento (envelope) y el diálogo SMTP entre en último gateway y nuestro servidor o viceversa. Exchange > C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs Exchange > C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs Exchange > C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog Exchange > C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog

13 Auditoría y logging en Exchange Server 2010 SP1 Información general del fichero de log Información general del fichero de log #Software: #Software: Software que creó el archivo de registro de protocolo. Normalmente, Microsoft Exchange Server. Software que creó el archivo de registro de protocolo. Normalmente, Microsoft Exchange Server. #Versión: #Versión: Número de versión del software que creó el archivo de registro de protocolo. Número de versión del software que creó el archivo de registro de protocolo. #Tipo de registro: #Tipo de registro: Registro de protocolo de recepción SMTP o Registro de protocolo de envío SMTP. Registro de protocolo de recepción SMTP o Registro de protocolo de envío SMTP. #Fecha: #Fecha: Fecha y hora UTC en el momento en que se creó el archivo. Fecha y hora UTC en el momento en que se creó el archivo. Se representa conforme a ISO 8601: dd-mm-aaaaThh:mm:ss.fffZ Se representa conforme a ISO 8601: dd-mm-aaaaThh:mm:ss.fffZ #Campos: #Campos: Campos delimitados por comas que se usan en los archivos de registro del protocolo. Campos delimitados por comas que se usan en los archivos de registro del protocolo.

14 Auditoría y logging en Exchange Server 2010 SP1 Registros de protocolo de transporte Registros de protocolo de transporte CampoDescripción date-timeaaaa = año, mm = mes, dd = día, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo, Z =Zulú. connector-idEl nombre completo (DN) del conector que está asociado al evento SMTP. session-id Un GUID que es exclusivo para cada sesión SMTP, pero que es el mismo para cada evento que está asociado con esa sesión SMTP. sequence- number Un contador que se inicia en 0 y que aumenta para cada evento de la misma sesión SMTP. local-endpoint El punto final local de una sesión SMTP. Se compone de una dirección IP y un número de puerto TCP cuyo formato es :. remote- endpoint El punto final remoto de una sesión SMTP. Se compone de una dirección IP y un número de puerto TCP cuyo formato es :. event Un único carácter que representa el evento del protocolo. Los valores posibles para el evento son los siguientes: + Conectar - Desconectar > Enviar < Recibir * Información dataInformación de texto asociada con el evento SMTP. contextInformación contextual adicional que puede asociarse con el evento de SMTP.

15 Auditoría y logging en Exchange Server 2010 SP1 La herramienta logparser ayuda a seleccionar, ordenar e interpretar estos registros La herramienta logparser ayuda a seleccionar, ordenar e interpretar estos registros 4c25-91b2-f8d975cf8c07&displaylang=en 4c25-91b2-f8d975cf8c07&displaylang=en 4c25-91b2-f8d975cf8c07&displaylang=en 4c25-91b2-f8d975cf8c07&displaylang=en logparser "select *from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select *from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select [#Fields: date-time] from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select [#Fields: date-time] from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select [#Fields: date-time] as date-time from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select [#Fields: date-time] as date-time from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID logparser "select REVERSEDNS(EXTRACT_PREFIX(remote-endpoint,0,':')) from RECV*.log" -i:CSV -nSkipLines:4 - o:DATAGRID logparser "select REVERSEDNS(EXTRACT_PREFIX(remote-endpoint,0,':')) from RECV*.log" -i:CSV -nSkipLines:4 - o:DATAGRID Más información: Más información: Dispoible también Visual Logparser dede CodePlex. Dispoible también Visual Logparser dede CodePlex.

16 Auditoría y logging en Exchange Server 2010 SP1 Registros de auditoría de administrador: Registros de auditoría de administrador: Se registra si un usuario o un administrador realizan cambios en la organización. Se registra si un usuario o un administrador realizan cambios en la organización. Se puede realizar un seguimiento de los cambios de la persona que realizó el cambio, obtener detalles de los cambios implementados, cumplir con los requisitos legales y solicitudes de detección. Se puede realizar un seguimiento de los cambios de la persona que realizó el cambio, obtener detalles de los cambios implementados, cumplir con los requisitos legales y solicitudes de detección. Si se habilita un registro de auditoría, se crea una entrada de registro cada vez que se ejecuta un cmdlet diferente a Get- o Search. Si se habilita un registro de auditoría, se crea una entrada de registro cada vez que se ejecuta un cmdlet diferente a Get- o Search. Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran. Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran. El registro de auditoría está configurado para almacenar entradas de registro de auditoría durante 90 días.

17 Auditoría y logging en Exchange Server 2010 SP1 Los registros de auditoría de administrador se almacenan en un buzón de correo oculto de arbitraje. Los registros de auditoría de administrador se almacenan en un buzón de correo oculto de arbitraje. En Exchange 2010 SP1 no se puede cambiar ni configurar este buzón de correo dedicado. En Exchange 2010 SP1 no se puede cambiar ni configurar este buzón de correo dedicado. Solamente es accesible desde los Informes de auditoría del Panel de control de Exchange (ECP) o mediante los cmdlets Search-AdminAuditLog o New- AdminAuditLogSearch. Solamente es accesible desde los Informes de auditoría del Panel de control de Exchange (ECP) o mediante los cmdlets Search-AdminAuditLog o New- AdminAuditLogSearch. Además de registrar los cmdlets, Exchange 2010 SP1 permite escribir manualmente las entradas del registro en el registro de auditoría. Además de registrar los cmdlets, Exchange 2010 SP1 permite escribir manualmente las entradas del registro en el registro de auditoría. write-AdminAuditLog write-AdminAuditLog

18 DEMO Auditoría de administradores

19 Auditoría y logging en Exchange Server 2010 SP1 Registros de auditoría de buzones: Registros de auditoría de buzones: Permiten registrar el acceso a buzones por parte de los dueños del buzón, delegados o administradores. Permiten registrar el acceso a buzones por parte de los dueños del buzón, delegados o administradores. Las entradas se generan cuando un buzón tiene habilitado el registro de auditoría de buzón. Las entradas se generan cuando un buzón tiene habilitado el registro de auditoría de buzón. Set-Mailbox -AuditEnabled $true Set-Mailbox -AuditEnabled $true Se pueden especificar que acciones se van a auditar y para que tipo de usuario. Se pueden especificar que acciones se van a auditar y para que tipo de usuario. Set-Mailbox -Identity -AuditDelegate SendAs,SendOnBehalf - AuditEnabled $true Set-Mailbox -Identity -AuditDelegate SendAs,SendOnBehalf - AuditEnabled $true Set-Mailbox -Identity -AuditAdmin MessageBind,FolderBind - AuditEnabled $true Set-Mailbox -Identity -AuditAdmin MessageBind,FolderBind - AuditEnabled $true Set-Mailbox -Identity -AuditOwner HardDelete -AuditEnabled $true Set-Mailbox -Identity -AuditOwner HardDelete -AuditEnabled $true

20 Informes de auditoría Registros de auditoría de buzones: Acciones auditadas Registros de auditoría de buzones: Acciones auditadas AcciónDescripciónAdmins.DelegadosDueño CrearSe ha creado un nuevo mensajeSi ActualizarSe cambió un mensaje.Sí Si CopiarUn mensaje se copió en otra carpeta.Si No aplicable MoverUn mensaje se movió a otra carpeta.SíSi Mover a Elementos eliminados Un mensaje se movió a la carpeta Elementos eliminados. SíSi Eliminar temporalmente Un mensaje se eliminó de la carpeta Elementos eliminados. Sí Si Eliminar de forma permanente Un mensaje se purgó de la carpeta Elementos recuperables. Sí Si Abrir carpetaSe tuvo acceso a una carpeta de buzón de correo.SíSi Enviar comoUn mensaje se envió mediante el permiso SendAs.Sí No aplicable Enviar en nombre deUn mensaje se envió con el permiso SendOnBehalf.SíSiNo aplicable Abrir mensaje Un mensaje se consultó en el panel de vista previa o se abrió. Si No aplicable Acciones auditadas de forma predeterminada (aplicables a Office 365)

21 Informes de auditoría Exchange Server 2010 SP1 incluye nuevos informes de auditoría: Exchange Server 2010 SP1 incluye nuevos informes de auditoría: Informe de acceso al buzón de correo del que no se es propietario. Informe de acceso al buzón de correo del que no se es propietario. Informe de retención por juicio Informe de retención por juicio Informe de grupo de funciones de administrador. Informe de grupo de funciones de administrador. Disponibles también para clientes de servicios online de Office 365 Disponibles también para clientes de servicios online de Office 365

22 Informes de auditoría Informe de acceso al buzón de correo del que no se es propietario Informe de acceso al buzón de correo del que no se es propietario Enumera los buzones de correo a los que ha tenido acceso otro usuario que no es su propietario. Enumera los buzones de correo a los que ha tenido acceso otro usuario que no es su propietario. Microsoft Exchange registra información acerca de esta acción en un registro de auditoría de buzones de correo y se almacena como un mensaje de correo electrónico en una carpeta oculta del buzón que se está auditando. Microsoft Exchange registra información acerca de esta acción en un registro de auditoría de buzones de correo y se almacena como un mensaje de correo electrónico en una carpeta oculta del buzón que se está auditando. Es necesario habilitar la auditoría en los buzones correspondientes. Es necesario habilitar la auditoría en los buzones correspondientes. Set-Mailbox -AuditEnabled $true Set-Mailbox -AuditEnabled $true Escenarios de utilización: Escenarios de utilización: Organizaciones basadas en servicios online (cloud) que desean asegurarse de que el personal del centro de datos de Microsoft no obtiene acceso a sus datos del buzón. Organizaciones basadas en servicios online (cloud) que desean asegurarse de que el personal del centro de datos de Microsoft no obtiene acceso a sus datos del buzón. Aplicación del cumplimiento normativo y las normativas de privacidad. Aplicación del cumplimiento normativo y las normativas de privacidad. Facilitar información en casos jurídicos. Facilitar información en casos jurídicos. Necesidad de identificar el acceso no autorizado a los datos del buzón por usuarios internos y ajenos a la organización. Necesidad de identificar el acceso no autorizado a los datos del buzón por usuarios internos y ajenos a la organización.

23 Informes de auditoría Informe de retención por juicio. Informe de retención por juicio. Se puede utilizar para realizar un seguimiento de los cambios efectuados en un buzón de correo en un determinado periodo de tiempo: Se puede utilizar para realizar un seguimiento de los cambios efectuados en un buzón de correo en un determinado periodo de tiempo: Se ha habilitado la retención por juicio. Se ha habilitado la retención por juicio. Se ha deshabilitado la retención por juicio. Se ha deshabilitado la retención por juicio. El informe incluye el usuario que realizó el cambio, la hora y la fecha en que se hizo. El informe incluye el usuario que realizó el cambio, la hora y la fecha en que se hizo. Es necesario habilitar la auditoría de administrador para ejecutar el informe. Es necesario habilitar la auditoría de administrador para ejecutar el informe. Set-AdminAuditLogConfig -AdminAuditLogEnabled $true Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

24 Informes de auditoría Informe de grupo de funciones de administrador. Informe de grupo de funciones de administrador. Muestra el registro de cambios de los grupos de funciones realizados por los administradores. Muestra el registro de cambios de los grupos de funciones realizados por los administradores. Los grupos de funciones de administrador se usan para asignar permisos administrativos a los usuarios, lo que les permite llevar a cabo tareas administrativas en la organización. Los grupos de funciones de administrador se usan para asignar permisos administrativos a los usuarios, lo que les permite llevar a cabo tareas administrativas en la organización. El informe de grupo de funciones de administrador registra los siguientes tipos de cambios: El informe de grupo de funciones de administrador registra los siguientes tipos de cambios: Creación, copia y eliminación de un grupo de funciones Creación, copia y eliminación de un grupo de funciones Adición y eliminación de miembros Adición y eliminación de miembros Es necesario habilitar la auditoría de administrador para ejecutar el informe. Es necesario habilitar la auditoría de administrador para ejecutar el informe. Set-AdminAuditLogConfig -AdminAuditLogEnabled $true Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

25 DEMO Informes de Auditoría

26 Retención por juicio (Legal Hold) Cuando el buzón de correo de un usuario tiene una retención por juicio, el usuario puede eliminar los elementos de su buzón de correo, pero se retendrán en los servidores de Exchange. Cuando el buzón de correo de un usuario tiene una retención por juicio, el usuario puede eliminar los elementos de su buzón de correo, pero se retendrán en los servidores de Exchange. Mantiene los mensajes de correo electrónico, los elementos de calendario, las tareas y otros elementos de buzón de correo. Mantiene los mensajes de correo electrónico, los elementos de calendario, las tareas y otros elementos de buzón de correo. Si un usuario cambia las propiedades seleccionadas de los elementos de un buzón de correo con retención por juicio, se conserva una copia del elemento antes de que se cambiara. Si un usuario cambia las propiedades seleccionadas de los elementos de un buzón de correo con retención por juicio, se conserva una copia del elemento antes de que se cambiara. Cuando se aplica una retención por juicio a un buzón de correo, la carpeta Elementos recuperables no se purga y los elementos de esta carpeta se retienen indefinidamente. Cuando se aplica una retención por juicio a un buzón de correo, la carpeta Elementos recuperables no se purga y los elementos de esta carpeta se retienen indefinidamente.

27 Retención por juicio (Legal Hold) Para habilitar la retención por juicio en un buzón: Para habilitar la retención por juicio en un buzón: Desde ECP Desde ECP Desde Shell Desde Shell Set-Mailbox -LitigationHoldEnabled $true Set-Mailbox -LitigationHoldEnabled $true

28 DEMO Retención por juicio

29 Registro en diario (Journaling) Ayuda a las organizaciones a responder a los requisitos de cumplimiento legal, normativo y organizativo mediante el registro de las comunicaciones de correo electrónico entrantes y salientes. Ayuda a las organizaciones a responder a los requisitos de cumplimiento legal, normativo y organizativo mediante el registro de las comunicaciones de correo electrónico entrantes y salientes. las autoridades de empresas de algunos sectores financieros pueden ser consideradas responsables de las alegaciones que sus empleados realicen a sus clientes. las autoridades de empresas de algunos sectores financieros pueden ser consideradas responsables de las alegaciones que sus empleados realicen a sus clientes. Para comprobar que las reclamaciones son precisas, el funcionario corporativo puede configurar un sistema en el que los administradores revisen regularmente parte de las comunicaciones empleado-a-cliente. Para comprobar que las reclamaciones son precisas, el funcionario corporativo puede configurar un sistema en el que los administradores revisen regularmente parte de las comunicaciones empleado-a-cliente.

30 Registro en diario (Journaling) El Agente de registro en diario es un agente de transporte centrado en el cumplimiento que procesa los mensajes de los servidores Transporte de concentradores. El Agente de registro en diario es un agente de transporte centrado en el cumplimiento que procesa los mensajes de los servidores Transporte de concentradores. Se desencadena en los eventos de transporte OnSubmittedMessage y OnRoutedMessage. Se desencadena en los eventos de transporte OnSubmittedMessage y OnRoutedMessage. Registro en diario estándar Registro en diario estándar Permite al agente de registro en diario registrar todos los mensajes enviados o recibidos a través de los buzones ubicados en una base de datos de buzones de correo. Permite al agente de registro en diario registrar todos los mensajes enviados o recibidos a través de los buzones ubicados en una base de datos de buzones de correo. Registro en diario premium Registro en diario premium Es posible configurar reglas de diario que registren destinatarios o miembros de grupos de distribución individuales. Es posible configurar reglas de diario que registren destinatarios o miembros de grupos de distribución individuales.

31 Registro en diario (Journaling) Cuando se crea una regla de registro en diario, se puede incluir el correo de voz y los avisos de llamadas perdidas generados por los servidores de mensajería unificada (MU). Cuando se crea una regla de registro en diario, se puede incluir el correo de voz y los avisos de llamadas perdidas generados por los servidores de mensajería unificada (MU). Para habilitar el registro en diario de correo de voz y avisos de llamadas perdidas Para habilitar el registro en diario de correo de voz y avisos de llamadas perdidas Set-TransportConfig -Voic JournalingEnabled $true Set-TransportConfig -Voic JournalingEnabled $true

32 DEMO Journaling

33 Búsqueda y descubrimiento (eDiscovery) Muchas organizaciones requieren disponer de acceso a mensajes y documentos por motivos de auditorías internas, investigaciones criminales, requisitos legales, juicios o demandas. Muchas organizaciones requieren disponer de acceso a mensajes y documentos por motivos de auditorías internas, investigaciones criminales, requisitos legales, juicios o demandas. La capacidad de búsqueda en múltiples buzones de Exchange Server 2010 ofrece un cumplimiento de dichos requisitos, sin afectar ni interrumpir al usuario final. La capacidad de búsqueda en múltiples buzones de Exchange Server 2010 ofrece un cumplimiento de dichos requisitos, sin afectar ni interrumpir al usuario final. Se basa en la capacidad de indexación del servicio Exchange Search. Se basa en la capacidad de indexación del servicio Exchange Search. El acceso se realiza mediante Exchange Control Panel y está completamente integrado con los permisos granulares de control de acceso basado en roles (RBAC). El acceso se realiza mediante Exchange Control Panel y está completamente integrado con los permisos granulares de control de acceso basado en roles (RBAC).

34 Búsqueda y descubrimiento (eDiscovery) El grupo Discovery management consiste en dos roles: El grupo Discovery management consiste en dos roles: Mailbox Search: Permite realizar las búsquedas Mailbox Search: Permite realizar las búsquedas Legal Hold: Permite configurar un buzón en un estado de mantenimiento legal Legal Hold: Permite configurar un buzón en un estado de mantenimiento legal La búsqueda puede incluir el buzón principal, el archivo personal y las conversaciones de IM La búsqueda puede incluir el buzón principal, el archivo personal y las conversaciones de IM

35 Búsqueda y descubrimiento (eDiscovery) Para poder realizar búsquedas, es necesario otorgar permisos de rol Discovery Management a una cuenta (p.e. el auditor o persona responsable del cumplimiento legal) Para poder realizar búsquedas, es necesario otorgar permisos de rol Discovery Management a una cuenta (p.e. el auditor o persona responsable del cumplimiento legal)

36 Búsqueda y descubrimiento (eDiscovery) Los resultados se almacenan en un buzón especial denominado Discovery Mailbox. Los resultados se almacenan en un buzón especial denominado Discovery Mailbox. Selección segura y filtrada del buzón de resultados desde ECP Selección segura y filtrada del buzón de resultados desde ECP Cuota de almacenamiento de 50 GB por defecto Cuota de almacenamiento de 50 GB por defecto Seguro por defecto Seguro por defecto Cuenta deshabilitada Cuenta deshabilitada Permiso de acceso otorgado de forma explícita Permiso de acceso otorgado de forma explícita El envío a este tipo de buzón está prohibido por restricciones de entrega El envío a este tipo de buzón está prohibido por restricciones de entrega Se pueden crear desde el Shell Se pueden crear desde el Shell New-Mailbox SearchResults -Discovery -UserPrincipalName New-Mailbox SearchResults -Discovery -UserPrincipalName

37 DEMO e-Discovery

38 Próximos eventos Informática 64 Lunes, 28 de noviembre de 2011 Lunes, 28 de noviembre de 2011 HOL-EXC30 Microsoft Exchange Server Implantación, Mejoras y Nuevas Características HOL-EXC30 Microsoft Exchange Server Implantación, Mejoras y Nuevas Características Martes, 29 de noviembre de 2011 Martes, 29 de noviembre de 2011 HOL-EXC34 Microsoft Exchange Server Seguridad, control de información y cumplimiento legal HOL-EXC34 Microsoft Exchange Server Seguridad, control de información y cumplimiento legal Miércoles, 30 de noviembre de 2011 Miércoles, 30 de noviembre de 2011 HOL-EXC31 Microsoft Exchange Server Alta disponibilidad y planes de recuperación de desastres HOL-EXC31 Microsoft Exchange Server Alta disponibilidad y planes de recuperación de desastres Registro: Registro: Lugar: Microsoft Ibérica, La Finca Lugar: Microsoft Ibérica, La Finca Ciudad: Pozuelo de Alarcón, Madrid. Ciudad: Pozuelo de Alarcón, Madrid. Horario de 08:30 a 14:30 Horario de 08:30 a 14:30 Precio. 90 (IVA no incluido) Precio. 90 (IVA no incluido)

39 TechNews de Informática 64 Suscripción gratuita en

40 Contactos Informática 64 Informática Joshua Sáenz G. Joshua Sáenz G.

41 Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:


Descargar ppt "Auditoría y análisis forense de correo electrónico con Exchange Server Joshua Sáenz G. www.saenzguijarro.com www.exchangespain.com."

Presentaciones similares


Anuncios Google