• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

E-Mail-Benachrichtigung bei erkannter Malware?

Frank05

Member
Hallo,

nächste Frage im Rahmen meiner Evaluation:

Kann ich einrichten, dass ich als Admin bei erkannter Malware sofort eine E-Mail-Benachrichtigung erhalte?

Grüße
Frank
 
Guten Morgen Frank,

kurze Antwort: nein das geht nicht.

Lange Antwort:
Dies ist prinzipiell nicht nötig. Da der NSP keine Quarantäne besitzt werden als Malware eingestufte E-Mails im Standard abgelehnt und dies lässt sich auch nur in "entferne den bösen Teil" abändern .
Somit würdest du dir selbst Benachrichtigungen schicken lassen die keinen Nutzen habe, da die E-Mail es nie ins Unternehmen geschafft hat.
Anders ist die Möglichkeit bei URLs. Da wir beim URLSafeguard beim klick des benutzers die Überprüfung machen ist es hier unter "Konfiguration -> Benutzer Benachrichtigungen -> E-Mail Benachrichtigungen" möglich sich informieren zu lassen wenn ein bösartiger Link angeklickt wurde.
Generell sind in diesem Bereich die Benachrichtigungen ein- und auschaltbar.


Nichtsdestotrotz würde sich eine Art Report im NSP realisieren lassen falls man zu Statistik zwecken eine passende Benachrichtigung braucht.
Das Zauberwort hier ist "PowerShell".

Gruß,
Jan
 
Guten Morgen,

das ist schade. Bei unserem bisherigen Anbieter gab es dieses Feature, und es war für uns auch sehr wichtig. Aufgrund der Natur unserer Tätigkeit kommt es manchmal vor, dass Dateien unserer Kunden, die per Mail eingehen, fälschlicherweise einen Erenalarm auslösen. Wir müssen dies dann möglichst schnell mit dem Kunden klären, daher müssen wir das wissen. Beim NSP ist es ja wenigstens so, dass der Absender eine Nachricht bekommt, die Mail also nicht ganz untergeht. Ich habe in den letzten 2 Wochen noch ein anderes System evaluiert, das genau aus diesem Grund ausgeschieden ist, weil es potenzielle Malware-Mails sang- und klanglos löscht und lediglich protokolliert.

Von unserem Fall unabhängig könnte es für Admins aus sinnvoll sein, sofort zu wissen, wenn viele Malware-Mails eingehen oder (noch schlimmer!) von intern nach extern gehen. Bei der Aktion "Wortübereinstimmungen" kann man ja auch eine Adresse angeben, die benachrichtigt wird, wenn ein böses Wort gefunden wird.

Grüße
Frank
 
Hallo Frank,

gut erkannt der Absender wird darüber informiert und kann sich dann ggf. aktiv mit dem Empfänger in Verbindung setzen.
Da machen wir ja schonmal etwas besser :)
Ein stillschweigendes entfernen einer E-Mail ist immer von Nachteil und das möchten wir natürlich vermeiden.

Den Punkt nehme ich gerne einmal mit auf um das Produkt in diese Richtiung ggf. verbessen zu können.
Momentan wäre es noch möglich wenn intern z.B. ein SIEM Produkt wie Splunk zum Einsatz kommt dort den NSP Messagtrack Live zu verfolgen und bei einer Malware E-Mail über das SIEM Produkt die Benachrichtigung zu versenden. Damit sollte man sehr nah an Echtzeit kommen. Hier wäre der Weg über die PowerShell zu Ressourcen treibend um eine Echtzeitüberwachung zu gewährleisten.


Gruß,
Jan
 
Hallo,

ich bin dabei, mir mit Hilfe der Reports auf Github eine zeitnahe Benachrichtung über erkannte Malware zu stricken, beispielsweise mithilfe eines Reports, der alle 30 Minuten angestoßen wird und nur im Erfolgsfall (d.h., wenn ein Malware-Ereignis auftrat), den Admin benachrichtigt. Als Basis habe ich Send-BlockReportToUsers.ps1 verwendet und bereits an einigen Stellen modifiziert, ich hänge aber daran fest, wie ich die MessageTracks ausfiltern kann, die aufgrund eines Virus blockiert wurden. 

Ist es möglich, in der folgenden Zeile, die die MessageTracks holt, bereits diese Filterung vorzunehmen?

$messageTracks = Get-NSPMessageTrack @cleanedParams -Status PermanentlyBlocked -WithAddresses -Directions FromExternal -First 100

Wenn nicht, müsste ich wohl in der darauffolgenden Verarbeitungsschleife das Feld CyrenReferenceId auswerten und prüfen, ob es AV=1 enthält, was mir das Flag für entdeckte Malware zu sein scheint. Liege ich da richtig in meiner Annahme?

Grüße
Frank
 
Guten Morgen Frank,

nein der Status "PermanentlyBlocked" reicht hier keines falls aus. Dieser wird auch ausgelöst wenn die Filter zur Abweisung führen.
Die Idee auf die Cyren Referenz ID zu gehen ist nicht schlecht, hat aber auf jeden fall den Nachteil, dass wenn der lokalae Virenscanner genutzt wird dieser in deinem Report dann nicht auftaucht.
Besser ist du machst folgendes:
Code:
$messageTracks = Get-NSPMessageTrack @cleanedParams -Status PermanentlyBlocked -WithAddresses -WithActions -Directions FromExternal -First 100
foreach($messagetrack in $messagetracks){

    if(($messagetrack.Actions | where {$_.Name -eq "malwareScan"}).Decision -eq "RejectPermanent"){
        Write-Host "done"
    }
}

Anstelle der Schleife geht auch (solltest du noch ausreichend testen - in meinem Fall hat es zumindest geklappt):

Code:
$messagetrack | where {($_.Actions | where {$_.Name -eq "malwareScan"}).Decision -eq "RejectPermanent"}

Letzteres hat den Vorteil, dass die direkt mit einem Select-Object weiter arbeiten kannst. Ist die Frage wie du weiter arbeiten möchtest :)

Hier mit prüfst du wirklich die ausgeführte Aktion "malwareScan" welche Cyren, den lokalen Virenscanner und ICAP berücksichtigt und dir somit alle Daten bearbeitet.


Gruß,
Jan
 
Hallo Jan,

ich habe jetzt die erste Variante erfolgreich in meine modifizierte Variante von Send-BlockReportToUsers.ps1 eingebaut. Es funktioniert jetzt, wie es soll: Das Skript wird 1 x pro Stunde von der Windows-Aufgabenplanung angestoßen und schickt mir dann eine Mail, sofern in der letzten Stunde Malware erkannt wurde. Ich könnte jetzt das Intervall noch kürzer einrichten, aber 1 Stunde reicht mir.

Dabei habe ich noch einen kleinen Bug in Send-BlockReportToUsers.ps1 in Verbindung mit -NumberOfHoursToReport gefunden.
Die folgende Zeile generiert einen Fehler, da das Datumsformat nicht passt:
Code:
$FromDate = (Get-Date).AddHours(-$NumberOfHoursToReport)

So funktioniert es:
Code:
$FromDate = (Get-Date -Date ((Get-Date).AddHours(-$NumberOfHoursToReport)) -UFormat "%Y-%m-%d %R")

Für meinen speziellen Anwendungsfall habe ich noch ein .AddMinutes(-2) ergänzt, um etwas zeitliche Überlappung zu haben.

Grüße
Frank
 
Hallo Frank,

danke für das Feedback.
Das es zu Problemen mit dem Get-Date kommen kann war mir schon bekannt. Hintergrund ist hier das das System selbst unterschiedlich antwortet. (hat verschiedene Gründe)
Dafür steht bei mir noch ein refactor Punkt auf der Entwicklungsliste ^^


Gruß
Jan
 
Zurück
Oben