Bei jeder Mail-Security-Lösung muss man einen Grad finden, wie scharf man filtert. Dabei sind speziell hochangepasste Phishing-Mails nicht immer leicht zu detektieren und es rutscht doch mal eines durch. Wenn wir unseren Benutzern nun die Möglichkeit geben, fragwürdige Mails zu rapportieren und diesen Input zum Tunen unserer Instanz nutzen, erhöht dies massgeblich die Effektivität. Doch wie managen wir dies administrativ und ohne grossen Overhead? xorlab bietet uns hier ein geniales Feature…
xorlabs Case Management – einfach und effizient gemacht
xorlab bietet ein sehr starkes Feature in dem Bereich. Eine zu meldende Mail muss dabei nur als Anhang in ein neues Mail gepackt werden – damit auch alle Header des unerwünschten Mails enthalten sind – und an eine spezifische Adresse zum Mail-Gateway (dem ActiveGuard Gateway) gesendet werden. Dieser Vorgang kann für den Anwender natürlich mit einem «Reporting-Button» bzw. einem «Reporting-Plugin» in dem jeweiligen Mail-Client vereinfacht werden.
Ein so gemeldetes Mail landet dann im xorlab Management Center (dem XCC) und kann von einem Admin entsprechend behandelt werden. Es werden dort alle Cases übersichtlich dargestellt und können einzeln oder in Gruppen bearbeitet werden.
Um mehr Details und eine spezifischere Auswertung zu fahren, kann ein gemeldetes Mail angeklickt und genauer ausgewertet werden. Auf einen Blick sind hier wichtige Parameter und ein Screenshot des Mails zu sehen (1) und weitere Details (z.B. die vollständigen Mail-Headers) können spezifisch ausgewertet werden (2).
Speziell hervorzuheben ist die Sektion «Similar», welche ähnliche Mails (z.B. anhand des Betreffs, eines ähnlichen Hash-Wertes, dem Fuzzy-Hash usw.) anzeigen lassen kann (3), wo durch schnell auch eine etwaige Campaign festgestellt und gleich eine Action dazu definiert werden kann.
Oben an der rechten Seite (4), kann der Case entsprechend mit einer Aktion bearbeitet werden (daher ob das Mail entsprechend Spam, Phising, BEC etc. ist).
Kampagnen definieren – mehr Zeit gewinnen für einen Kaffee
Sollten wir eine Campaign z.B. anhand des «similar Content» entdecken, können wir direkt aus diesem Bereich (5) auch eine solche erstellen.
Beim Erstellen einer Campaign, muss entsprechend erstmal dieser eine Bezeichnung gegeben werden (1), anschliessend kann die Aktion der Campaign definiert werden, welche bei neu eintreffenden Mails ausgelöst wird (2) und ob vom Anwender rapportierte Mails entsprechend automatisch bearbeitet werden bzw. der Anwender eine Benachrichtigung bekommen soll (3).
Transparent für den Anwender – macht uns doch alle happy :)
Und jetzt kommt der Clou – der User bekommt je nach Konfiguration eine automatische Benachrichtigung. Daher kann er benachrichtigt werden, dass ein gemeldeter Case eingegangen ist, wenn dieser bearbeitet wurde oder automatisch durch eine Campaign geschlossen wurde.
Und ja – wir können dabei das Layout auch komplett nach den eigenen Bedürfnissen anpassen.
-
- Ein eigenes Logo? – Kein Problem.
- Eigene Mail und Ansprechpartner in Footer? – Warum auch nicht.
- Inhalt lieber auf Deutsch? – Jup, mit etwas Aufwand in Deutsch oder übersetze es selbst in die Sprache deiner Wahl…
The_Ari3s
The_Ari3s ist Security Engineer bei AVANTEC. Er interessiert sich insbesondere für technologische Trends im Netzwerk und Sicherheitsbereich – speziell für die Cloud. Ebenfalls hat er ein besonderen Faible für Linux, IoT und OpenSource-Lösungen.