-
Willkommen im neuen Forum.
Solltet ihr "Social Media Login" im alten Forum genutzt haben, macht bitte ein Passwort Reset mit der damals benutzten E-Mail Adresse eures Social Media Kontos. Solltet das nicht funktionieren, dann schaut hier bitte rein: KLICK
-
NSP Forum als App inkl. Push Nachrichten (iOS): Klick
E-Mail-Benachrichtigung bei erkannter Malware?
- Ersteller Frank05
- Erstellt am
Guten Morgen Frank,
kurze Antwort: nein das geht nicht.
Lange Antwort:
Dies ist prinzipiell nicht nötig. Da der NSP keine Quarantäne besitzt werden als Malware eingestufte E-Mails im Standard abgelehnt und dies lässt sich auch nur in "entferne den bösen Teil" abändern .
Somit würdest du dir selbst Benachrichtigungen schicken lassen die keinen Nutzen habe, da die E-Mail es nie ins Unternehmen geschafft hat.
Anders ist die Möglichkeit bei URLs. Da wir beim URLSafeguard beim klick des benutzers die Überprüfung machen ist es hier unter "Konfiguration -> Benutzer Benachrichtigungen -> E-Mail Benachrichtigungen" möglich sich informieren zu lassen wenn ein bösartiger Link angeklickt wurde.
Generell sind in diesem Bereich die Benachrichtigungen ein- und auschaltbar.
Nichtsdestotrotz würde sich eine Art Report im NSP realisieren lassen falls man zu Statistik zwecken eine passende Benachrichtigung braucht.
Das Zauberwort hier ist "PowerShell".
Gruß,
Jan
kurze Antwort: nein das geht nicht.
Lange Antwort:
Dies ist prinzipiell nicht nötig. Da der NSP keine Quarantäne besitzt werden als Malware eingestufte E-Mails im Standard abgelehnt und dies lässt sich auch nur in "entferne den bösen Teil" abändern .
Somit würdest du dir selbst Benachrichtigungen schicken lassen die keinen Nutzen habe, da die E-Mail es nie ins Unternehmen geschafft hat.
Anders ist die Möglichkeit bei URLs. Da wir beim URLSafeguard beim klick des benutzers die Überprüfung machen ist es hier unter "Konfiguration -> Benutzer Benachrichtigungen -> E-Mail Benachrichtigungen" möglich sich informieren zu lassen wenn ein bösartiger Link angeklickt wurde.
Generell sind in diesem Bereich die Benachrichtigungen ein- und auschaltbar.
Nichtsdestotrotz würde sich eine Art Report im NSP realisieren lassen falls man zu Statistik zwecken eine passende Benachrichtigung braucht.
Das Zauberwort hier ist "PowerShell".
Gruß,
Jan
Guten Morgen,
das ist schade. Bei unserem bisherigen Anbieter gab es dieses Feature, und es war für uns auch sehr wichtig. Aufgrund der Natur unserer Tätigkeit kommt es manchmal vor, dass Dateien unserer Kunden, die per Mail eingehen, fälschlicherweise einen Erenalarm auslösen. Wir müssen dies dann möglichst schnell mit dem Kunden klären, daher müssen wir das wissen. Beim NSP ist es ja wenigstens so, dass der Absender eine Nachricht bekommt, die Mail also nicht ganz untergeht. Ich habe in den letzten 2 Wochen noch ein anderes System evaluiert, das genau aus diesem Grund ausgeschieden ist, weil es potenzielle Malware-Mails sang- und klanglos löscht und lediglich protokolliert.
Von unserem Fall unabhängig könnte es für Admins aus sinnvoll sein, sofort zu wissen, wenn viele Malware-Mails eingehen oder (noch schlimmer!) von intern nach extern gehen. Bei der Aktion "Wortübereinstimmungen" kann man ja auch eine Adresse angeben, die benachrichtigt wird, wenn ein böses Wort gefunden wird.
Grüße
Frank
das ist schade. Bei unserem bisherigen Anbieter gab es dieses Feature, und es war für uns auch sehr wichtig. Aufgrund der Natur unserer Tätigkeit kommt es manchmal vor, dass Dateien unserer Kunden, die per Mail eingehen, fälschlicherweise einen Erenalarm auslösen. Wir müssen dies dann möglichst schnell mit dem Kunden klären, daher müssen wir das wissen. Beim NSP ist es ja wenigstens so, dass der Absender eine Nachricht bekommt, die Mail also nicht ganz untergeht. Ich habe in den letzten 2 Wochen noch ein anderes System evaluiert, das genau aus diesem Grund ausgeschieden ist, weil es potenzielle Malware-Mails sang- und klanglos löscht und lediglich protokolliert.
Von unserem Fall unabhängig könnte es für Admins aus sinnvoll sein, sofort zu wissen, wenn viele Malware-Mails eingehen oder (noch schlimmer!) von intern nach extern gehen. Bei der Aktion "Wortübereinstimmungen" kann man ja auch eine Adresse angeben, die benachrichtigt wird, wenn ein böses Wort gefunden wird.
Grüße
Frank
Hallo Frank,
gut erkannt der Absender wird darüber informiert und kann sich dann ggf. aktiv mit dem Empfänger in Verbindung setzen.
Da machen wir ja schonmal etwas besser
Ein stillschweigendes entfernen einer E-Mail ist immer von Nachteil und das möchten wir natürlich vermeiden.
Den Punkt nehme ich gerne einmal mit auf um das Produkt in diese Richtiung ggf. verbessen zu können.
Momentan wäre es noch möglich wenn intern z.B. ein SIEM Produkt wie Splunk zum Einsatz kommt dort den NSP Messagtrack Live zu verfolgen und bei einer Malware E-Mail über das SIEM Produkt die Benachrichtigung zu versenden. Damit sollte man sehr nah an Echtzeit kommen. Hier wäre der Weg über die PowerShell zu Ressourcen treibend um eine Echtzeitüberwachung zu gewährleisten.
Gruß,
Jan
gut erkannt der Absender wird darüber informiert und kann sich dann ggf. aktiv mit dem Empfänger in Verbindung setzen.
Da machen wir ja schonmal etwas besser
Ein stillschweigendes entfernen einer E-Mail ist immer von Nachteil und das möchten wir natürlich vermeiden.
Den Punkt nehme ich gerne einmal mit auf um das Produkt in diese Richtiung ggf. verbessen zu können.
Momentan wäre es noch möglich wenn intern z.B. ein SIEM Produkt wie Splunk zum Einsatz kommt dort den NSP Messagtrack Live zu verfolgen und bei einer Malware E-Mail über das SIEM Produkt die Benachrichtigung zu versenden. Damit sollte man sehr nah an Echtzeit kommen. Hier wäre der Weg über die PowerShell zu Ressourcen treibend um eine Echtzeitüberwachung zu gewährleisten.
Gruß,
Jan
Hallo,
ich bin dabei, mir mit Hilfe der Reports auf Github eine zeitnahe Benachrichtung über erkannte Malware zu stricken, beispielsweise mithilfe eines Reports, der alle 30 Minuten angestoßen wird und nur im Erfolgsfall (d.h., wenn ein Malware-Ereignis auftrat), den Admin benachrichtigt. Als Basis habe ich Send-BlockReportToUsers.ps1 verwendet und bereits an einigen Stellen modifiziert, ich hänge aber daran fest, wie ich die MessageTracks ausfiltern kann, die aufgrund eines Virus blockiert wurden.
Ist es möglich, in der folgenden Zeile, die die MessageTracks holt, bereits diese Filterung vorzunehmen?
$messageTracks = Get-NSPMessageTrack @cleanedParams -Status PermanentlyBlocked -WithAddresses -Directions FromExternal -First 100
Wenn nicht, müsste ich wohl in der darauffolgenden Verarbeitungsschleife das Feld CyrenReferenceId auswerten und prüfen, ob es AV=1 enthält, was mir das Flag für entdeckte Malware zu sein scheint. Liege ich da richtig in meiner Annahme?
Grüße
Frank
ich bin dabei, mir mit Hilfe der Reports auf Github eine zeitnahe Benachrichtung über erkannte Malware zu stricken, beispielsweise mithilfe eines Reports, der alle 30 Minuten angestoßen wird und nur im Erfolgsfall (d.h., wenn ein Malware-Ereignis auftrat), den Admin benachrichtigt. Als Basis habe ich Send-BlockReportToUsers.ps1 verwendet und bereits an einigen Stellen modifiziert, ich hänge aber daran fest, wie ich die MessageTracks ausfiltern kann, die aufgrund eines Virus blockiert wurden.
Ist es möglich, in der folgenden Zeile, die die MessageTracks holt, bereits diese Filterung vorzunehmen?
$messageTracks = Get-NSPMessageTrack @cleanedParams -Status PermanentlyBlocked -WithAddresses -Directions FromExternal -First 100
Wenn nicht, müsste ich wohl in der darauffolgenden Verarbeitungsschleife das Feld CyrenReferenceId auswerten und prüfen, ob es AV=1 enthält, was mir das Flag für entdeckte Malware zu sein scheint. Liege ich da richtig in meiner Annahme?
Grüße
Frank
Guten Morgen Frank,
nein der Status "PermanentlyBlocked" reicht hier keines falls aus. Dieser wird auch ausgelöst wenn die Filter zur Abweisung führen.
Die Idee auf die Cyren Referenz ID zu gehen ist nicht schlecht, hat aber auf jeden fall den Nachteil, dass wenn der lokalae Virenscanner genutzt wird dieser in deinem Report dann nicht auftaucht.
Besser ist du machst folgendes:
Anstelle der Schleife geht auch (solltest du noch ausreichend testen - in meinem Fall hat es zumindest geklappt):
Letzteres hat den Vorteil, dass die direkt mit einem Select-Object weiter arbeiten kannst. Ist die Frage wie du weiter arbeiten möchtest
Hier mit prüfst du wirklich die ausgeführte Aktion "malwareScan" welche Cyren, den lokalen Virenscanner und ICAP berücksichtigt und dir somit alle Daten bearbeitet.
Gruß,
Jan
nein der Status "PermanentlyBlocked" reicht hier keines falls aus. Dieser wird auch ausgelöst wenn die Filter zur Abweisung führen.
Die Idee auf die Cyren Referenz ID zu gehen ist nicht schlecht, hat aber auf jeden fall den Nachteil, dass wenn der lokalae Virenscanner genutzt wird dieser in deinem Report dann nicht auftaucht.
Besser ist du machst folgendes:
Code:
$messageTracks = Get-NSPMessageTrack @cleanedParams -Status PermanentlyBlocked -WithAddresses -WithActions -Directions FromExternal -First 100
foreach($messagetrack in $messagetracks){
if(($messagetrack.Actions | where {$_.Name -eq "malwareScan"}).Decision -eq "RejectPermanent"){
Write-Host "done"
}
}Anstelle der Schleife geht auch (solltest du noch ausreichend testen - in meinem Fall hat es zumindest geklappt):
Code:
$messagetrack | where {($_.Actions | where {$_.Name -eq "malwareScan"}).Decision -eq "RejectPermanent"}Letzteres hat den Vorteil, dass die direkt mit einem Select-Object weiter arbeiten kannst. Ist die Frage wie du weiter arbeiten möchtest
Hier mit prüfst du wirklich die ausgeführte Aktion "malwareScan" welche Cyren, den lokalen Virenscanner und ICAP berücksichtigt und dir somit alle Daten bearbeitet.
Gruß,
Jan
Hallo Jan,
ich habe jetzt die erste Variante erfolgreich in meine modifizierte Variante von Send-BlockReportToUsers.ps1 eingebaut. Es funktioniert jetzt, wie es soll: Das Skript wird 1 x pro Stunde von der Windows-Aufgabenplanung angestoßen und schickt mir dann eine Mail, sofern in der letzten Stunde Malware erkannt wurde. Ich könnte jetzt das Intervall noch kürzer einrichten, aber 1 Stunde reicht mir.
Dabei habe ich noch einen kleinen Bug in Send-BlockReportToUsers.ps1 in Verbindung mit -NumberOfHoursToReport gefunden.
Die folgende Zeile generiert einen Fehler, da das Datumsformat nicht passt:
So funktioniert es:
Für meinen speziellen Anwendungsfall habe ich noch ein .AddMinutes(-2) ergänzt, um etwas zeitliche Überlappung zu haben.
Grüße
Frank
ich habe jetzt die erste Variante erfolgreich in meine modifizierte Variante von Send-BlockReportToUsers.ps1 eingebaut. Es funktioniert jetzt, wie es soll: Das Skript wird 1 x pro Stunde von der Windows-Aufgabenplanung angestoßen und schickt mir dann eine Mail, sofern in der letzten Stunde Malware erkannt wurde. Ich könnte jetzt das Intervall noch kürzer einrichten, aber 1 Stunde reicht mir.
Dabei habe ich noch einen kleinen Bug in Send-BlockReportToUsers.ps1 in Verbindung mit -NumberOfHoursToReport gefunden.
Die folgende Zeile generiert einen Fehler, da das Datumsformat nicht passt:
Code:
$FromDate = (Get-Date).AddHours(-$NumberOfHoursToReport)So funktioniert es:
Code:
$FromDate = (Get-Date -Date ((Get-Date).AddHours(-$NumberOfHoursToReport)) -UFormat "%Y-%m-%d %R")Für meinen speziellen Anwendungsfall habe ich noch ein .AddMinutes(-2) ergänzt, um etwas zeitliche Überlappung zu haben.
Grüße
Frank
Hallo Frank,
danke für das Feedback.
Das es zu Problemen mit dem Get-Date kommen kann war mir schon bekannt. Hintergrund ist hier das das System selbst unterschiedlich antwortet. (hat verschiedene Gründe)
Dafür steht bei mir noch ein refactor Punkt auf der Entwicklungsliste ^^
Gruß
Jan
danke für das Feedback.
Das es zu Problemen mit dem Get-Date kommen kann war mir schon bekannt. Hintergrund ist hier das das System selbst unterschiedlich antwortet. (hat verschiedene Gründe)
Dafür steht bei mir noch ein refactor Punkt auf der Entwicklungsliste ^^
Gruß
Jan
