La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Código: HOL-EXC35. ► Introducción  Retos y escenarios de auditoría y análisis forense de mensajería ► Novedades de auditoría en Exchange Server 2010.

Publicada porMarcelina Camargo Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Código: HOL-EXC35. ► Introducción  Retos y escenarios de auditoría y análisis forense de mensajería ► Novedades de auditoría en Exchange Server 2010."— Transcripción de la presentación:

1 Código: HOL-EXC35

2 ► Introducción  Retos y escenarios de auditoría y análisis forense de mensajería ► Novedades de auditoría en Exchange Server 2010 SP1 ► Análisis forense de correo electrónico  Análisis de encabezados SMTP  Rastreo de origen de mensajes  Fingerprinting de servidores de correo ► Auditoría y logging en Exchange Server  Configuración y Análisis de registros de Exchange Ser ver  Informes de auditoría ► Funcionalidades avanzadas de control y registro  Retención por juicio (Legal Hold)  Registro en Diario (Journaling)  Archivo personal (Archiving)  Búsqueda y descubrimiento (eDiscovery)

3

4 ► Retos y escenarios de auditoría y análisis forense de mensajería  Fuga de información  Falta de control interno  Pérdida de datos  Espionaje industrial  Incumplimiento de normativas y legalidad  Ataques deliverados

5 ► ¿Que sucedería si se descubre una fuga de información, robo o espionaje industrial?  Impacto en la credibilidad y la imagen Daño en la imagen pública de la organización La información filtrada al exterior puede poner en serios aprietos a la organización  Pérdida de competitividad La fuga de información de planes puede suponer una pérdida de inversionistas y cotización en bolsa Pérdida de capital intelectual, resultados de investigaciones u otros datos importantes para el negocio.  Impacto legal y financiero Costes en juicios, indemnizaciones y abogados Cada vez hay más regulación y es más estricta a nivel nacional e internacional

6 ► ¿Porqué es importante el cumplimiento legal?  Las organizaciones deben proporcionar evidencias de litigio o documentación diversa a los organismos reguladores si se les solicita (incluidos los mensajes de correo electrónico).  Un incumplimiento podría suponer una fuerte sanción, incluso la apertura de un proceso penal contra los responsables.  Por ello deben considerar el cumplimiento legal, la auditoría y la capacidad de análisis forense como parte de sus planes de infraestructuras, incluyendo el correo electrónico.

7 ► Las organizaciones multinacionales deben considerar la legislación de cada país en donde tienen una sede.  Sarbanes-Oxley Act of 2002 (SOX)  Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4)  National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110)  Gramm-Leach-Bliley Act (Financial Modernization Act)  Financial Institution Privacy Protection Act of 2001  Financial Institution Privacy Protection Act of 2003Health Insurance  Portability and Accountability Act of 1996 (HIPAA)  Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (Patriot Act)  European Union Data Protection Directive (EUDPD)  Japan’s Personal Information Protection Act  Ley Orgánica de Protección de Datos (LOPD)

8

9 ► Registro de auditoría de administradores ► Registro de auditoría de buzones ► Retención por juicio de buzones (Legal / Litigation Hold) ► Funcionalidad e-discovery integrada ► Registro en diario (Journaling)  Bases de datos  Buzón  Carpetas personales ► Informes de auditoría desde ECP ► Informes de entrega de mensajes (Delivery Reports) ► Simplificación de encabezados e informes de no entrega (Non Delivery Report)

10

11 ► El análisis forense es una ciencia muy amplia dentro de la Informática ► En este seminario, se pretende ofrecer una visión de cómo las nuevas herramientas de auditoría y registro de Exchange Server 2010 SP1 facilitan las tareas de análisis forense y recogida de evidencias. ► No se hablará del análisis del lado del cliente como Outlook o Windows, sino que nos centraremos en los servidores Exchange 2010.

12 ► Una de las tareas fundamentales que debe ser efectuada en toda investigación es la captura de evidencias. ► Se define evidencia como cualquier información contrastable encontrada en un sistema.  A la hora de recoger las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y útil.  RFC 3227 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de recolectar las evidencias en un sistema al que se desea realizar un análisis forense.

13 ► Una evidencia debe ser  Admisible: Debe cumplir con los requisitos legales antes de se admitida por un juez.  Autentica: Debe ser posible relacionar positivamente la evidencia con el incidente.  Completa: Debe decir toda la historia, no solo una perspectiva particular.  Confiable: No debe haber nada acerca de cómo la evidencia fue recogida y manejada que genere dudas de su autenticidad y veracidad.  Creíble: Debe ser creíble cuando se lee y entendible por un juez. Fuente RFC 3227: http://www.ietf.org/rfc/rfc3227.txt

14 1. Identificar que se quiere buscar. 2. Identificar que servidores y buzones están involucrados. 3. Identificar la arquitectura de la organización Exchange. 4. Identificar dónde se almacena la información que se está buscando y por dónde ha pasado el mensaje. 5. Identificar si es necesario recuperar copias de seguridad o elementos eliminados. 6. Extraer una copia para análisis y una copia como prueba forense. 7. Analizar:  Encabezados de mensajes  Registro de diagnóstico  Registro de seguimiento y entrega de mensajes  Registro de conectividad  Otros registros que puedan dar pistas o evidencias

15 ► No son fiables por si solos. ► Son fácilmente falsificables.  Spambots, dm.cgi, Darkmailer ► A pesar de ello, suponen un punto de partida en el análisis. ► 3.8.2 Received Lines in Gatewaying  “When forwarding a message into or out of the Internet environment, a gateway MUST prepend a Received: line, but it MUST NOT alter in any way a Received: line that is already in the header.” Fuente: http://www.ietf.org/rfc/rfc2821.txt

16 EncabezadoValor Received:from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100 X-TM-IMSS-Message-ID: Received:from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100 Subject:TEST de Encabezados Date:Tue, 8 Feb 2011 16:02:40 +0100 Message-ID: X-MS-Has-Attach:MIME-Version: 1.0 Content-Type:multipart/alternative; boundary="----_=_NextPart_001_01CBC7A1.3B78BA81" X-MS-TNEF-Correlator: Thread-Topic:TEST de Encabezados Thread-Index:AcvHoTrEROEEE3f6TR+CRJDGNrHF4w== From: Content-Class:urn:content-classes:message X-MimeOLE:Produced By Microsoft Exchange V6.5 To: Return-Path:SMTP_Remitente

17 EncabezadoValor X-OriginalArrivalTime:08 Feb 2011 15:02:41.0643 (UTC) FILETIME=[3BC21BB0:01CBC7A1] X-MS-Exchange-Organization-PRD:FQDN_SMTP_Remitente X-MS-Exchange-Organization-SenderIdResult:None Received-SPF:None (FQDN_Edge_Destinatario: SMTP_Remitente does not designate permitted sender hosts) X-MS-Exchange-Organization-SCL:4 X-MS-Exchange-Organization-PCL:2 X-MS-Exchange-Organization-Antispam- Report: DV:3.3.9710.467;SID: SenderIDStatus None;OrigIP:X.X.X.X Más información http://technet.microsoft.com/en-us/library/bb232136.aspx http://technet.microsoft.com/en-us/library/aa996878.aspx

18 ► Existen dos tipos de encabezados SMTP  Encabezados estándar RFC 2822 Received: Subject: Date: Message-ID: From: To: Return-Path: Content-Class: Content-Type:  Encabezados no oficiales (habitualmente comienzan por X-) X-TM-IMSS-Message-ID: X-MimeOLE: X-OriginalArrivalTime: X-MS-Exchange-Organization-PRD: X-MS-Exchange-Organization-SenderIdResult:

19 ► Un encabezado X es un campo de encabezado definido por el usuario y no oficial que existe en el encabezado del mensaje. ► Se ha convertido en un modo aceptado de agregar campos de encabezados no oficiales a un mensaje. ► Las aplicaciones de mensajería, como las aplicaciones contra correo electrónico no deseado, antivirus y de servidor de mensajería pueden agregar sus propios encabezados X a un mensaje. ► Los campos de encabezado X normalmente se conservan, pero los servidores de mensajería y los clientes que no los usan los omiten.

20 ► En Exchange Server 2010 el firewall de encabezado impide la suplantación de estos encabezados X, ya que los quita de los mensajes que entran en la organización de Exchange y provienen de orígenes que no son de confianza. ► También evita que se desvelen dichos encabezados X, ya que los quita de los mensajes salientes que irán a destinos que no son de confianza fuera de la organización de Exchange. ► Evita la suplantación de los encabezados de enrutamiento estándar usados para realizar el seguimiento del historial de enrutamiento de un mensaje.

21 Encabezado XDescripción X-MS-Exchange-Forest- RulesExecuted Se enumeran las reglas de transporte ejecutadas en el mensaje. X-MS-Exchange-Organization- Antispam-Report Informe de resumen de los resultados del filtro anti SPAM que el agente de filtro de contenido ha aplicado al mensaje. X-MS-Exchange-Organization- AuthAs Siempre está presente cuando se ha evaluado la seguridad de un mensaje. Especifica el origen de la autenticación. Los valores posibles son Anonymous, Internal, External o Partner. X-MS-Exchange-Organization- AuthDomain Se rellena durante la autenticación segura de dominio. El valor es el nombre de dominio completo (FQDN) del dominio autenticado remotamente. X-MS-Exchange-Organization- AuthMechanism Especifica el mecanismo de autenticación para enviar el mensaje. El valor es un número hexadecimal de 2 dígitos. X-MS-Exchange-Organization- AuthSource Especifica el FQDN del equipo del servidor que ha evaluado la autenticación del mensaje en nombre de la organización. X-MS-Exchange-Organization- Journal-Report Identifica los informes de diario en el transporte.

22 Encabezado XDescripción X-MS-Exchange-Organization- OriginalArrivalTime Identifica la hora en la que el mensaje entró por primera vez en la organización de Exchange. X-MS-Exchange-Organization-Original- Sender Identifica el remitente original de un mensaje en cuarentena cuando entró por primera vez en la organización de Exchange. X-MS-Exchange-Organization- OriginalSize Identifica el tamaño original de un mensaje en cuarentena cuando entró por primera vez en la organización de Exchange. X-MS-Exchange-Organization-Original- Scl Identifica el SCL original de un mensaje en cuarentena cuando entró por primera vez en la organización de Exchange. X-MS-Exchange-Organization-PCL Identifica el nivel de confianza de protección contra suplantación de identidad (phishing). X-MS-Exchange-Organization- Quarantine Indica que el mensaje se ha puesto en cuarentena en el buzón de cuarentena de correo electrónico no deseado y que se ha enviado una notificación del estado de entrega (DSN). X-MS-Exchange-Organization-SCL Identifica el SCL del mensaje. El valor especial -1 exime al mensaje del procesamiento. X-MS-Exchange-Organization- SenderIdResult Contiene los resultados del agente de Id. de remitente. Los resultados del Id. del remitente se usan para calcular el SCL de un mensaje.

23 ► Sin embargo, ni los encabezados estándar ni los encabezados X se utilizan para el enrutamiento de los mensajes. ► Los encabezados del sobre (envelope) son los que se utilizan para entregar el mensaje, pero no son visibles desde el cliente.  Igual que el resto de encabezados son fácilmente suplantables.  Si tenemos dudas acerca del origen de un mensaje, únicamente podemos confiar en los encabezados received: y encabezados X que incluyen nuestros servidores. ► Para poder visualizarlos, es necesario abrir el registro de protocolo de transporte.

24 ► Received: from FQDN_Edge_Remitente (X.X.X.X) by FQDN_Edge_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Tue, 8 Feb 2011 16:03:13 +0100 ► Received: from FQDN_Mailbox_Remitente ([X.X.X.X]) by Hub_remitente with Microsoft SMTPSVC(6.0.3790.3959); Tue, 8 Feb 2011 16:02:41 +0100  Se interpretan de abajo a arriba, relacionando from = origen y by = destino FQDN Mailbox Remitente FQDN Hub Remitente FQDN Edge Remitente FQDN Edge Destinatario

25 ► Herramientas Web de análisis  http://www.mxtoolbox.com/EmailHeaders.aspx http://www.mxtoolbox.com/EmailHeaders.aspx  http://www.levinecentral.com/mail_parse/default.aspx http://www.levinecentral.com/mail_parse/default.aspx ► Usuarios de Google Apps  http://www.google.com/postini/headeranalyzer http://www.google.com/postini/headeranalyzer ► Aplicaciones  http://www.emailtrackerpro.com/ http://www.emailtrackerpro.com/  http://www.smtpanalyzer.com/ http://www.smtpanalyzer.com/

26 ► La identificación de las direcciones IPs de los servidores por los cuales a pasado el mensaje es un investigación conjunta de:  Encabezados estándar  Encabezados no oficiales (X-)  Registro de protocolo de transporte  Registro de conectividad ► Una vez que hemos determinado las direcciones IP de los MTAs, el siguiente paso es averiguar a quien pertenecen y que sistema de correo se ha utilizado.

27 ► Hotmail ayuda a identificar la IP desde la que se creó el correo. Received: from snt0-omc1-s44.snt0.hotmail.com (65.54.61.81) by FQDN_EDGE_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Wed, 16 Feb 2011 13:29:12 +0100 Received: from SNT113-W29 ([65.55.90.7]) by snt0-omc1-s44.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Wed, 16 Feb 2011 04:29:19 -0800 Message-ID: Return-Path: usuario_remitente@hotmail.com Content-Type: multipart/alternative;boundary="_076449b3-93f2-4644-8f2c-c47b20697d69_" X-Originating-IP: [X.X.X.X] From: Nombre_Remitente To: Subject: Esto es una prueba Date: Wed, 16 Feb 2011 12:29:19 +0000 Importance: Normal MIME-Version: 1.0

28 ► GMail elimina la cláusula from: en los encabezados Received:, sin embargo incluye firma DKIM Received: from mail-ww0-f49.google.com (74.125.82.49) by FQDN_EDGE_Destinatario (X.X.X.X) with Microsoft SMTP Server id 8.1.436.0; Wed, 16 Feb 2011 13:41:08 +0100 Received: by wwb17 with SMTP id 17so1328577wwb.30 for ; Wed, 16 Feb 2011 04:41:07 -0800 (PST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:date:message- id:subject:from:to:content-type; bh=oKUvpdCwSGNNLOMXNEm3luOeLCCANYO1TnzUU0IzjOg=; b=urLYibCg7quP4ytchabwUgi+AjS49bzpicR2FKzGki7qOJnk3orHw6k/uLt8xL8kmN fPqZXKue2Q4JNdR6aN9E25BMOvfgZsJDpsUhKdtgrYTQvcz0dKnhIB6jtWb5SY3KT5Jg 92i01iT4h3JsM93mkYBdrT31TGk2iFFvfJTXE= DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:date:message-id:subject:from:to:content-type; b=PTMPISP4vwgG/xU9NtdAFYxeokY+togvWS9mvtwnwxipjDqZcBuPKTUSBbhf8/T7lo v51CoxWgi874bbW6iAtoehbgDIE08djCRN+8gRDOP+xSF0e0NBp8FCPYTB508A2j/q2l sk1hrSj4eA93sjPaqzsa4gMFRijLUc6eNYUlk= MIME-Version: 1.0 Received: by 10.216.179.207 with SMTP id h57mr446188wem.20.1297860067765; Wed, 16 Feb 2011 04:41:07 -0800 (PST) Received: by 10.216.137.212 with HTTP; Wed, 16 Feb 2011 04:41:07 -0800 (PST)

29 ► Herramientas Whois  http://www.freednsinfo.com/ http://www.freednsinfo.com/  http://www.robtex.com/ http://www.robtex.com/  http://www.domaintools.com/ http://www.domaintools.com/

30

31 ► Exchange Server 2010 SP1 incluye mejoras en la auditoría de acciones realizadas por los administradores. ► En conjunto se dispone de numerosos registros a la hora de realizar un análisis forense o una auditoría en la organización.  Registro de protocolo de transporte  Registro de conectividad  Registro de diagnósticos  Registro de seguimiento de mensajes  Registro de auditoría de administrador  Registro de auditoría de buzones

32 ► Registros de protocolo de transporte  Constituyen una prueba fehaciente de el envío o recepción de mensajes, ya que podemos confiar en nuestros servidores.  Representan los encabezados de enrutamiento (envelope) y el diálogo SMTP entre en último gateway y nuestro servidor o viceversa. Exchange 2007 -> C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs Exchange 2010 -> C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog ► Información general del fichero de log  #Software: Software que creó el archivo de registro de protocolo. Normalmente, Microsoft Exchange Server.  #Versión: Número de versión del software que creó el archivo de registro de protocolo.  #Tipo de registro: Registro de protocolo de recepción SMTP o Registro de protocolo de envío SMTP.  #Fecha: Fecha y hora UTC en el momento en que se creó el archivo. Se representa conforme a ISO 8601: dd-mm-aaaaThh:mm:ss.fffZ  #Campos: Campos delimitados por comas que se usan en los archivos de registro del protocolo.

33 ► Registros de protocolo de transporte CampoDescripción date-timeaaaa = año, mm = mes, dd = día, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo, Z =Zulú. connector-idEl nombre completo (DN) del conector que está asociado al evento SMTP. session-id Un GUID que es exclusivo para cada sesión SMTP, pero que es el mismo para cada evento que está asociado con esa sesión SMTP. sequence- number Un contador que se inicia en 0 y que aumenta para cada evento de la misma sesión SMTP. local-endpoint El punto final local de una sesión SMTP. Se compone de una dirección IP y un número de puerto TCP cuyo formato es :. remote- endpoint El punto final remoto de una sesión SMTP. Se compone de una dirección IP y un número de puerto TCP cuyo formato es :. event Un único carácter que representa el evento del protocolo. Los valores posibles para el evento son los siguientes: + Conectar - Desconectar > Enviar < Recibir * Información dataInformación de texto asociada con el evento SMTP. contextInformación contextual adicional que puede asociarse con el evento de SMTP.

34 ► La herramienta logparser ayuda a seleccionar, ordenar e interpretar estos registros  http://www.microsoft.com/downloads/en/details.aspx?FamilyID=890cd06b-abf8- 4c25-91b2-f8d975cf8c07&displaylang=en http://www.microsoft.com/downloads/en/details.aspx?FamilyID=890cd06b-abf8- 4c25-91b2-f8d975cf8c07&displaylang=en ► logparser "select *from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID ► logparser "select [#Fields: date-time] from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID ► logparser "select [#Fields: date-time] as date-time from re*.log" -i:CSV -nSkipLines:4 -o:DATAGRID ► logparser "select REVERSEDNS(EXTRACT_PREFIX(remote-endpoint,0,':')) from RECV*.log" -i:CSV - nSkipLines:4 -o:DATAGRID ► Más información:  http://msexchangeteam.com/archive/2007/11/12/447515.aspx http://msexchangeteam.com/archive/2007/11/12/447515.aspx  http://msexchangeteam.com/archive/2007/11/28/447598.aspx http://msexchangeteam.com/archive/2007/11/28/447598.aspx  http://technet.microsoft.com/es-es/library/aa997624.aspx http://technet.microsoft.com/es-es/library/aa997624.aspx

35 ► Registros de auditoría de administrador:  Se registra si un usuario o un administrador realizan cambios en la organización.  Se puede realizar un seguimiento de los cambios de la persona que realizó el cambio, obtener detalles de los cambios implementados, cumplir con los requisitos legales y solicitudes de detección.  Si se habilita un registro de auditoría, se crea una entrada de registro cada vez que se ejecuta un cmdlet diferente a Get- o Search. Los cambios realizados en la configuración del registro de auditoría del administrador siempre se registran.  El registro de auditoría está configurado para almacenar entradas de registro de auditoría durante 90 días.

36 ► Los registros de auditoría de administrador se almacenan en un buzón de correo oculto de arbitraje.  En Exchange 2010 SP1 no se puede cambiar ni configurar este buzón de correo dedicado. ► Solamente es accesible desde los Informes de auditoría del Panel de control de Exchange (ECP) o mediante los cmdlets Search-AdminAuditLog o New- AdminAuditLogSearch. ► Además de registrar los cmdlets, Exchange 2010 SP1 permite escribir manualmente las entradas del registro en el registro de auditoría.  write-AdminAuditLog

37 ► Registros de auditoría de buzones:  Permiten registrar el acceso a buzones por parte de los dueños del buzón, delegados o administradores.  Las entradas se generan cuando un buzón tiene habilitado el registro de auditoría de buzón. Set-Mailbox -AuditEnabled $true  Se pueden especificar que acciones se van a auditar y para que tipo de usuario. Set-Mailbox -Identity -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true Set-Mailbox -Identity -AuditAdmin MessageBind,FolderBind -AuditEnabled $true Set-Mailbox -Identity -AuditOwner HardDelete - AuditEnabled $true

38 ► Registros de auditoría de buzones: Acciones auditadas AcciónDescripciónAdmins.DelegadosDueño CrearSe ha creado un nuevo mensajeSi ActualizarSe cambió un mensaje.Sí Si CopiarUn mensaje se copió en otra carpeta.Si No aplicable MoverUn mensaje se movió a otra carpeta.SíSi Mover a Elementos eliminados Un mensaje se movió a la carpeta Elementos eliminados. SíSi Eliminar temporalmente Un mensaje se eliminó de la carpeta Elementos eliminados. Sí Si Eliminar de forma permanente Un mensaje se purgó de la carpeta Elementos recuperables. Sí Si Abrir carpetaSe tuvo acceso a una carpeta de buzón de correo.SíSi Enviar comoUn mensaje se envió mediante el permiso SendAs.Sí No aplicable Enviar en nombre deUn mensaje se envió con el permiso SendOnBehalf.SíSiNo aplicable Abrir mensaje Un mensaje se consultó en el panel de vista previa o se abrió. Si No aplicable Acciones auditadas de forma predeterminada (aplicables a Office 365)

39 ► Exchange Server 2010 SP1 incluye nuevos informes de auditoría:  Informe de acceso al buzón de correo del que no se es propietario.  Informe de retención por juicio  Informe de grupo de funciones de administrador. ► Disponibles también para clientes de servicios online de Office 365

40 ► Informe de acceso al buzón de correo del que no se es propietario  Enumera los buzones de correo a los que ha tenido acceso otro usuario que no es su propietario.  Microsoft Exchange registra información acerca de esta acción en un registro de auditoría de buzones de correo y se almacena como un mensaje de correo electrónico en una carpeta oculta del buzón que se está auditando. ► Es necesario habilitar la auditoría en los buzones correspondientes.  Set-Mailbox -AuditEnabled $true ► Escenarios de utilización:  Organizaciones basadas en servicios online (cloud) que desean asegurarse de que el personal del centro de datos de Microsoft no obtiene acceso a sus datos del buzón.  Aplicación del cumplimiento normativo y las normativas de privacidad.  Facilitar información en casos jurídicos.  Necesidad de identificar el acceso no autorizado a los datos del buzón por usuarios internos y ajenos a la organización.

41 ► Informe de retención por juicio.  Se puede utilizar para realizar un seguimiento de los cambios efectuados en un buzón de correo en un determinado periodo de tiempo: Se ha habilitado la retención por juicio. Se ha deshabilitado la retención por juicio.  El informe incluye el usuario que realizó el cambio, la hora y la fecha en que se hizo. ► Es necesario habilitar la auditoría de administrador para ejecutar el informe.  Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

42 ► Informe de grupo de funciones de administrador.  Muestra el registro de cambios de los grupos de funciones realizados por los administradores.  Los grupos de funciones de administrador se usan para asignar permisos administrativos a los usuarios, lo que les permite llevar a cabo tareas administrativas en la organización.  El informe de grupo de funciones de administrador registra los siguientes tipos de cambios: Creación, copia y eliminación de un grupo de funciones Adición y eliminación de miembros ► Es necesario habilitar la auditoría de administrador para ejecutar el informe.  Set-AdminAuditLogConfig -AdminAuditLogEnabled $true

43

44 ► Cuando el buzón de correo de un usuario tiene una retención por juicio, el usuario puede eliminar los elementos de su buzón de correo, pero se retendrán en los servidores de Exchange. ► Mantiene los mensajes de correo electrónico, los elementos de calendario, las tareas y otros elementos de buzón de correo. ► Si un usuario cambia las propiedades seleccionadas de los elementos de un buzón de correo con retención por juicio, se conserva una copia del elemento antes de que se cambiara. ► Cuando se aplica una retención por juicio a un buzón de correo, la carpeta Elementos recuperables no se purga y los elementos de esta carpeta se retienen indefinidamente.

45 ► Para habilitar la retención por juicio en un buzón:  Desde ECP  Desde Shell Set-Mailbox -LitigationHoldEnabled $true

46 ► Ayuda a las organizaciones a responder a los requisitos de cumplimiento legal, normativo y organizativo mediante el registro de las comunicaciones de correo electrónico entrantes y salientes.  las autoridades de empresas de algunos sectores financieros pueden ser consideradas responsables de las alegaciones que sus empleados realicen a sus clientes.  Para comprobar que las reclamaciones son precisas, el funcionario corporativo puede configurar un sistema en el que los administradores revisen regularmente parte de las comunicaciones empleado-a-cliente.

47 ► El Agente de registro en diario es un agente de transporte centrado en el cumplimiento que procesa los mensajes de los servidores Transporte de concentradores. ► Se desencadena en los eventos de transporte OnSubmittedMessage y OnRoutedMessage.  Registro en diario estándar Permite al agente de registro en diario registrar todos los mensajes enviados o recibidos a través de los buzones ubicados en una base de datos de buzones de correo.  Registro en diario premium Es posible configurar reglas de diario que registren destinatarios o miembros de grupos de distribución individuales.

48 ► Cuando se crea una regla de registro en diario, se puede incluir el correo de voz y los avisos de llamadas perdidas generados por los servidores de mensajería unificada (MU). ► Para habilitar el registro en diario de correo de voz y avisos de llamadas perdidas  Set-TransportConfig -VoicemailJournalingEnabled $true

49 ► El almacenamiento de mensajes antiguos siempre ha sido un problema para las organizaciones.  Cumplimiento legal  Copias de seguridad  Control de la información ► Los almacenes.pst en el cliente Outlook no solucionan el problema.  No están controlados  Aumento en costes de auditoría  No se pueden aplicar políticas de retención  Riesgo de pérdida de información  Riesgo de fuga o robo  Dispersión de la información ► Para aquellas organizaciones que necesiten controlar, almacenar y auditar la información antigua, Exchange 2010 incorpora el Archivo personal.

50 ► Solución básica de archivo del lado del servidor. ► Se elimina el uso de.pst distribuidos y difíciles de controlar. ► Con la misma experiencia para el usuario.  Acceso nativo desde Outlook 2010 y OWA 2010  Acceso desde Outlook 2007 con actualización KB2479671 ► Puede ser un destino de las políticas de retención. ► Con SP1 ya no se requiere que el buzón de archivo esté en la misma base de datos que el buzón principal. ► La cuota del archivo personal es independiente de la cuota del buzón principal. ► Integrado con funcionalidad de archivo hospedado (Online Archiving) de Office 365

51 ► Muchas organizaciones requieren disponer de acceso a mensajes y documentos por motivos de auditorías internas, investigaciones criminales, requisitos legales, juicios o demandas. ► La capacidad de búsqueda en múltiples buzones de Exchange Server 2010 ofrece un cumplimiento de dichos requisitos, sin afectar ni interrumpir al usuario final. ► Se basa en la capacidad de indexación del servicio Exchange Search. ► El acceso se realiza mediante Exchange Control Panel y está completamente integrado con los permisos granulares de control de acceso basado en roles (RBAC).

52 ► El grupo Discovery management consiste en dos roles:  Mailbox Search: Permite realizar las búsquedas  Legal Hold: Permite configurar un buzón en un estado de mantenimiento legal ► La búsqueda puede incluir el buzón principal, el archivo personal y las conversaciones de IM

53 ► Para poder realizar búsquedas, es necesario otorgar permisos de rol Discovery Management a una cuenta (p.e. el auditor o persona responsable del cumplimiento legal)

54 ► Los resultados se almacenan en un buzón especial denominado Discovery Mailbox.  Selección segura y filtrada del buzón de resultados desde ECP  Cuota de almacenamiento de 50 GB por defecto  Seguro por defecto Cuenta deshabilitada Permiso de acceso otorgado de forma explícita  El envío a este tipo de buzón está prohibido por restricciones de entrega ► Se pueden crear desde el Shell  New-Mailbox SearchResults -Discovery - UserPrincipalName SearchResults@contoso.com

55 Suscripción gratuita en technews@informatica64.com

56 ► Informática 64  http://www.informatica64.com http://www.informatica64.com  i64@informatica64.com i64@informatica64.com  +34 91 665 99 98 ► Joshua Sáenz G.  www.saenzguijarro.com  www.exchangespain.com

Descargar ppt "Código: HOL-EXC35. ► Introducción  Retos y escenarios de auditoría y análisis forense de mensajería ► Novedades de auditoría en Exchange Server 2010."

Presentaciones similares

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.
Certificados X.509 Federico García

Certificados X.509 Federico García
para Exchange Archivo del correo interno y externo

para Exchange Archivo del correo interno y externo
Internet y tecnologías web

Internet y tecnologías web
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.

Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Funcionamiento del servicio de correo electrónico.

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Funcionamiento del servicio de correo electrónico.
Jorge de Nova Segundo UD 6:

Jorge de Nova Segundo UD 6:
Solución para Control de Presencia Empleados

Solución para Control de Presencia Empleados
Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!

Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Gestionar y organizar los elementos del correo electrónico

Gestionar y organizar los elementos del correo electrónico
Aprendizaje de Microsoft® Access® 2010

Aprendizaje de Microsoft® Access® 2010
Control de información y cumplimiento legal en Exchange Server 2010

Control de información y cumplimiento legal en Exchange Server 2010
JURISWEB DPESLP.

JURISWEB DPESLP.
VENTAJAS, DESVENTAJAS, CARACTERISTICAS Y CONFIGURACION

VENTAJAS, DESVENTAJAS, CARACTERISTICAS Y CONFIGURACION
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
Auditoría y análisis forense de correo electrónico con Exchange Server

Auditoría y análisis forense de correo electrónico con Exchange Server
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

Presentaciones similares

Anuncios Google