Audit güvenlik ihtiyaçları nedeniyle giderek artan bir oranda ihtiyaç haline geliyor. Bu anlamda exchange server üzerinde bulunan mailbox'ların güvenliği ve izlenmeside önemli.

 

Kim kimin adına mail gönderebiliyor, kimler kimlerin maillerini görebiliyor vb sorular giderek daha sık sorulmaya başlandı. 

 

Exchange 2007 service pack 2 ile yeni auditing özellikleri gelmektedir. Bu özellikler ile exchange auditing eksikliğini gidermiş oluyor ve böylece store içerindeki hareketi loglayabiliyoruz.

 

Yeni diyebileceğimiz audit'i kısaca dört başlık altında toplayabiliriz.

 

Folder Access --- Herhangi bir folder’a erişim durumunda

Message Access --- Bir mesajın açılması durumunda

Extended Send As --- Mailbox enabled user’ın mesaj göndermesi durumunda

Extended Send On Behalf Of --- Mailbox enabled user için On Behalf Of kullanımı durmunda

 

Loglama sağlamaktadırlar..

 

 

Bu loglar için yeni bir event log tipi oluşturuyoruz ve logları "Exchange Auditing" adlı event log biriminde biriktiriyoruz. Tabi butip eventlerin sayısı çok fazla olabileceği ve bu veriler kaybedilmek istenmeyeceği için ihtiyaçlarımıza göre özellikle event file büyüklüğüne dikkat etmek gerek.

 

Aşağıda 4 değişik eventten birer örnek ve kısa açıklamalar var.

 

Folder Access:

 

Event ID 10100 Veli Ali’nin Outbox’ını açmış. Her folder için ayrı ayrı event düşürülebildiğinden çok net olarak erişimin nereye yapıldığını anlayabiliyoruz.

 

Böylece eski 1016 eski tip event arayışına gerek kalmıyor.

 

folder access

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Message Access:

 

Veli Ali’nin mailbox’ındaki 30***EAD@e2k7-dc.e12.local message id’li mesajı ADI ve IP’si belirli client’tan outlook.exe’yi açmış.

 

Not: Mesaj silmeler özel bir event ile takip edilmez sadece access event’i yazılır.

 

 

Message Access 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Send As:

 

Aşağıdaki eventte Veli, Ali adına mail göndermiş yine client adı,ip’si ve message ID net olarak anlaşılıyor.

 

Hangi mesajı gönderdiğini hangi client’ı kullandığını ve ip’sinin o anda ne olduğunu yine event’ten ek olarak edinebiliyoruz.

 

 

Send As 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Send On Behalf Of:

 

Veli Ali adına yetkili kılınmış ancak send-as değil send on behalf. Bunuda aşağıdaki event’ten anlıyoruz.

 

 

Send on Behalf of 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Service Pack 2 release edildi.

Download:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4c4bd2a3-5e50-42b0-8bbb-2cc9afe3216a 

 

Release Notes:

http://www.microsoft.com/downloads/details.aspx?FamilyID=ee7829a3-0ae8-44de-822c-908cd1034523&displaylang=en

 

Kubilay