守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

admin 2022年6月14日08:53:36评论249 views字数 1387阅读4分37秒阅读模式

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统


                 背景               

守望者实验室基于威胁基础数据和安全分析能力,推出三大分析引擎,包括URL沙箱、邮件沙箱、DNS沙箱(行为分析)”。
系统架构如下图,中间的三大安全能力矩阵,是守望者的核心分析引擎,通过开放式API,便于和第三方相互集成,共建生态。核心思路是“叠加赋能”给现有的设备和系统,有效降低安全成本,提高安全运营效率。
守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

电子邮件正迅速成为XDR的第四大支柱。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件
本篇主要谈下守望者实验室推出的在线 邮件安全分析系统。主要以功能列举为主。

1           全面分析、多维展示             

对邮件标题、正文、链接、附件等进行分析,可有效发现 APT、社工钓鱼、商业欺诈、账号受控、账号暴破、病毒、木马、蠕虫、URL 钓鱼等邮件威胁,实现对威胁邮件的快速检测和持续分析。

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

特色功能:邮件传递路径的展示,通过分析Eml文件,将这封邮件在互联网上的投递路径如实展现,这个邮件从哪里来,经过几跳,最终到哪个邮件服务器上等都展示出来。

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统


2              钓鱼邮件识别            

通过对邮件Eml文件进行解析,提炼出邮件头、主题、正文、链接、附件等多维度特征,采用机器学习、特征识别的方法,能够有效识别包含钓鱼链接、跨站脚本链接、IP链接式以及仿冒式的钓鱼邮件。
守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统
URL是钓鱼邮件很常见的一种钓鱼方式,关于恶意URL的识别详见公众号相关两篇文章:《A sandbox for the web:一款在线的“恶意URL分析系统”》、《A sandbox for the web:一款在线的“恶意URL分析系统”(2)


3、         异 常 场 景 分 析                
邮件异常场景包括:发件异常、收件异常、异常时间登录、异常地区登录、暴力破解行为、客户端异常、多账户登录、弱口令、境外成功登录等场景,同时对单账号收发邮件数量、登录成功信息进行记录,便于账号异常行为的发现。
守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统


4、        灵活的规则自定义                

对分析人员来说,灵活的自定义功能一定是要必备的。系统默认的规则场景不可能满足动态的威胁变化,自定义功能可以充分发挥分析人员的能力。

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统
可以通过规则检索生成检测规则。系统支持灵活的条件检索:包含对邮件主题、发件人、收件人、时间、附件名及邮件正文的检索。支持对查询结果的部分字段筛选功能;支持对查询结果的部分字段排序功能。


5、         威胁情报自动碰撞和 “一键关联”     

系统会自动筛查出邮件中的IP、域名、登陆地址、附件hash等,并结合威胁情报平台(https://ti.watcherlab.com/)数据,进行快速碰撞,发现威胁。

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

  “一键关联”情报查询(ti.watcherlab.com),确保分析人员的良好体验。

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

直接关联TI平台:https://ti.watcherlab.com/守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统


6         提交方式                 
  • 手工提交:可以直接页面手工提交eml文件。
  • API:提供API检测能力接口,通过接口提交EML文件,接口返回检测结果。
守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统


在线系统地址:https://mailscan.watcherlab.com/ 

欢迎您注册使用!




END

守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统
守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

watcherlab

做数字经济时代的安全守望者

长按扫码可关注



原文始发于微信公众号(守望者实验室):守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日08:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   守望安全,共建生态(2):应对邮件威胁,一款在线的邮件分析系统http://cn-sec.com/archives/1110256.html

发表评论

匿名网友 填写信息