运维有小邓

  Exchange Server 的Windows服务器备份只能执行基础还原，并且不支持对邮箱项执行粒度还原。在需要恢复单个已删除的电子邮件或文件夹的情况下，本机解决方案提供了一个耗时且低效的过程。 Exchange Server RecoveryManager Plus 帮助您克服这些限制。使用RecoveryManager Plus，您可以备份Exchange邮箱中的所有邮箱项目，包括用户电子邮件、附件、联系人、任务、组邮箱、归档邮箱和日历。此外，您可以恢复整个邮箱、单个邮箱文件夹、甚至单个邮箱项(如电子邮件或联系人)的数据。 RecoveryManager Plus 备份所有邮箱项目 备份电子邮件 、附件、联系人、任务、组邮箱、归档邮箱和日历项。 执行修复容易 轻松恢复整个邮箱或只是个别项目，如单个电子邮件或联系人。 将邮箱内容导出到PST 将Exchange在线邮箱的内容导出为PST格式，并进行安全存储。 RecoveryManager Plus被支持的环境 Exchange 服务器 2010 SP1, SP2, SP3 Exchange 服务器 2013 Exchange 服务器 2016 Exchange 服务器 2019 选择RecoveryManager Plus的理由。 遵守保留政策 为备份定义一个保留期，并自动放弃旧的备份。 恢复预览 从备份中预览内容和附件，然后再恢复电子邮件。 高级搜索过滤器 使用高级搜索筛选器在各种备份之间搜索特定邮箱项。 多个Exchange组织备份 将多个Exchange组织添加到RecoveryManager Plus中，并从单个控制台管理备份。 跨平台的恢复 将邮箱项还原到另一个服务器中的邮箱，或还原到Exchange在线租户中的邮箱。 数据备份 想了解关于RecoveryManager Plus产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  监视关键应用程序有助于确定可能影响业务绩效的事件的根本原因。此过程可帮助管理员预期性能下降，检测服务中断，确定补救措施的优先级并增强其业务应用程序。由于监视这些业务应用程序可能具有挑战性，因此企业需要一种直观的解决方案，该解决方案可以集中监视所有应用程序并生成用户友好的报告。 应用程序 EventLog Analyzer 是帮助管理员维护关键业务应用程序（包括MS SQL服务器，Oracle数据库和终端服务器，例如打印服务器）的性能的理想盟友。它有助于跟踪重要事件，例如特权用户活动和数据库事务，身份异常活动和非法访问。如果检测到威胁， EventLog Analyzer可以生成实时电子邮件和SMS通知。 EventLog Analyzer MS SQL服务器 EventLog Analyzer支持MS SQL数据库服务器，生成报告以监视所有登录和注销活动，数据库访问，服务器帐户更改以及DML和DDL查询。它配备了直观的仪表板，可深入查看原始日志，显示收集的日志内容并简化根本原因分析。 生成有关SQL注入和拒绝服务攻击的详细报告，以对攻击进行详细的取证分析。获取有关感兴趣事件的 实时警报 ，包括帐户锁定， 特权滥用 以及对敏感数据的未经授权复制，以立即对安全漏洞做出反应。 您甚至可以使用关联功能来识别SQL Server活动中的异常。例如，您可以识别未经授权的SQL备份。 MS SQL服务器 Oracle数据库 EventLog Analyzer通过即时警报生成有关Oracle数据库中用户活动的详细报告，从而促进了无缝的Oracle数据库审核和监视。运行有关数据库的结构更改，查询执行和特权用户活动（包括登录和注销事件）的报告，以管理数据库，并使用有关SQL注入，帐户锁定，拒绝服务攻击和过期密码的报告来分析安全性关注。 Oracle数据库 打印服务器 打印机看似无害，敏感信息可能会泄漏到企业之外。EventLog Analyzer的打印服务器报告可以帮助管理员管理员工的打印需求并监视每个打印机终端。它将打印服务器日志审核到： 使用有关文档以及文档的打印者的信息来跟踪通过服务器的每个打印作业。 跟踪打印活动，例如哪些文档已被移动，删除，暂停，恢复或已更改其优先级。 确定所有失败的打印作业及其原因，例如超时或文档损坏。 标识任何试图使用特权不足来打印文档的用户。...

  AzureAD在许多组织中发挥着重要作用。 但是，随着最近出现的许多安全攻击和行业监管机构发挥着前所未有的力量，即使是在AzureAD环境中最小的违规行为也会使您的组织陷入困境。 因此，不言而喻，您应该跟踪在AzureAD环境中发生的一切。 不幸的是， Microsoft Office365 在确保管理hassle-free审计体验方面并不是最好的。 随着许多安全和合规问题的出现，您需要一个简单的方法来审计Office365，为您的IT团队节省宝贵的时间。  M365 SecurityPlus 正好为此服务。 M365 SecurityPlus 一、M365 Security Plus:保护Azure AD M365SecurityPlus是一个独占的 Office365安全解决方案 ，它为您提供了AzureAD环境的全面视图。 使用M365SecurityPlus，您将永远不会错过由用户和管理员执行的任何活动。 这样，它就可以帮助你扭转它头上的任何不利事件。 通过 M365SecurityPlus‘开箱即用AzureAD审计功能帮助您： 跟踪在AzureAD中进行的用户创建、修改和删除。 获得用户所有成功和失败的登录尝试的完全可见性。 审核信息更新，如密码重置、更改或强制更改，以及证书修改。 审核AD中的活动。 获取有价值的信息，说明谁对许可证做了什么更改，何时更改，从哪里更改。 满足合规要求，如PCI DSS, HIPAA, GLBA, FISMA, SOX等。 Office365安全解决方案 二、为什么M365 Security Plus 如此特别？ 1. 360度全方位报表 通过对AzureAD环境的所有审计的深入、预先配置的报表来做出明智的决定。 使用M365SecurityPlus，您的所有审计日志都显示为清晰、总结的报表。 以多种文件格式导出报表，如CSV、XLS、PDF和HTML。 使用内置过滤器修改审计报表，并将您需要的信息保存为单独的自定义报表. 2. 打破90天的障碍 在Office365中，所有审计跟踪在90天后被清除。 然而，大多数行业合规任务要求公司将这些审计日志存储多年，以方便法医日志分析，以防出现任何问题。 M365Security Plus允许您通过存储Azure AD审计日志来保持始终遵从...

  一、安全告警的必要性 很多时候，组织意识到他们在攻击后数周或数月就被攻破了。“违规停留时间”如此之长的主要原因是缺乏有效的安全监控措施。在发生安全事件之后，告警可能意味着安全网络与被破坏网络之间的区别。对于安全团队来说， 监控日志和设置告警至关重要 ，这在他们的网络中充当了绊脚石。当攻击者在网络中移动时，他们不可避免地会触发告警，将威胁通知安全团队。 二、安全告警示例 考虑以下场景： 关键服务器上安装了新软件或服务 主机意外重启 修改了防火墙策略 应用程序崩溃 重要策略（例如日志记录策略）已更改 此类事件被称为危害指标 (IoC)，必须进行标记和调查，以便在为时已晚之前检测到安全威胁。通过为网络中的多个 IoC 设置告警，您可以最大限度地提高检测安全威胁的机会。 三、管理事件 一旦发出告警，就必须迅速解决它，以减少恶意行为者进行攻击的时间。迅速的调查和响应可以在早期遏制攻击。安全团队必须确保他们有一个负责的流程来处理他们的监控工具引发的每一个告警。这涉及定义规则，以便将告警自动分配给适当的管理员，以减少响应事件所需的时间。例如，在 SQL 服务器上发出的告警必须自动推送给 SQL 管理员，而不是在很久以后打电话给管理员通知他们该事件。 四、 Log360  Cloud 的告警模块 Log360 Cloud 是基于 云的日志管理解决方案 ，可以监控和保护您的网络。Log360 Cloud 允许您针对感兴趣的安全事件触发和管理告警，以便及早检测攻击。该解决方案附带三类告警配置文件： 预定义告警：Log360 Cloud 允许您从一系列预定义告警配置文件中进行选择，以解决常见的安全用例。这使安全团队可以轻松地在部署解决方案后立即设置告警。 合规告警 ：该解决方案附带开箱即用的合规告警配置文件集，可帮助您遵守 PCI DSS、HIPAA、SOX 等法规。 自定义告警：您还可以通过定义条件并将它们与逻辑运算符组合来根据您的要求定义自己的告警标准。 五、使用 Log360 Cloud 集中管理事件 Log360 Cloud 的界面允许您从控制台内管理所有告警；这些告警可以手动或通过定义分配规则自动分配给管理员。告警的状态可以从打开更新到进行中再到关闭以跟踪其解决方案。 此外，Log360 Cloud 可以与 ManageEngine Servic...

  SIEM解决方案 已成为企业网络安全武器库中不可或缺的一部分。但由于SIEM功能过于复杂且架构难以理解，企业往往SIEM的潜在功能。遗憾的是，他们忽视的潜在功能正是解开企业 网络合规 的重要部分。 SIEM 例如，处理客户信用卡信息的企业需要遵守PCI-DSS要求。SIEM 解决方案可以帮助生成审计就绪报告，这可以帮助企业不再需要单独的解决方案来满足其PCI-DSS合规需求。 PCI-DSS 但是，尽管所有软件供应商都会向您介绍其SIEM产品的功能，但在这里还是建议您在选择解决方案之前一定对其进行深入的了解。 在SIEM解决方案的七大功能 现在就让我们去了解一下SIEM对企业至关重要的七大功能！ 网络安全监控 在SIEM解决方案应具备的关键功能之一是网络安全监控功能。企业内部设备的组成一般都很复杂，例如工作站、路由器、防火墙等。SIEM 解决方案必须可以监控不同的网络设备，识别各类潜在的攻击威胁或数据泄露风险，并让管理员随时了解网络环境中的具体情况。此外，该解决方案应与威胁源集成，以阻止已知威胁源与网络交互。 用户和实体行为分析 在大型企业中，管理员不可能手动监视所有用户。SIEM解决方案必须能够了解用户行为并得出基线。每当偏离基线时，都应立即提醒管理员。此外，如果该解决方案可以根据用户的行为为用户分配风险评分，管理员将更容易识别受感染的帐户或具有威胁的内部人员。 防止数据丢失 企业每天都需处理大量数据。这些数据中很有可能包括极其敏感的信息，例如客户的个人信息、信用卡详细信息、价格敏感信息等。如果把这些信息存储在不安全的位置，可能会导致数据泄露、勒索赎金并影响公司的声誉。识别未经授权的非法访问并提醒其管理员，是SIEM 解决方案的一项重要功能。 云安全 根据ManageEngine的相关调查，十分之八的IT专业人员表示，疫情导致“云”使用量增加。尽管云服务采用的提升和转移方法使迁移更容易和无缝，但由于内部部署和云架构的差异，可能会对安全性产生巨大影响。 这时候拥有一个可以监控云活动并识别潜在威胁的SIEM解决方案就变得尤其重要。它还应该能够监控并提供被禁止应用程序使用情况的报表。 目录审计 监视目录活动对于避免对关键资源的任何未授权访问起着至关重要的作用。活动目录监控必须是 SIEM 解决方案的重要组成部分，以确保权限的配置符合组织的内部政策和行业法规。...

  实时帐户锁定工具提供有关域 帐户锁定 原因的实时报表。本机Windows  Active Directory 帐户锁定策略是阻止连续、时限性、寻求登录的密码猜测尝试的一种实用方法，这会由于使用错误的密码而导致帐户锁定。帐户锁定的其他原因可能包括：由于采用严格的密码设置，频繁 重置密码 导致难以记住密码。ADAudit Plus帮助您跟踪Windows Active Directory、Windows服务器和Windows工作站中的帐户锁定，从‘用户’帐户事件日志数据中查询集合信息、形成复杂的信息并以简单、基于GUI的预配置报表和即时电子邮件告警形式呈现 实时Windows用户帐户锁定分析器报表 利用这个AD帐户锁定状态工具，了解原因、何时关联到为Windows服务预先保存的密码、服务帐户、COM对象、网络驱动器映射、计划任务、登录会话... 帐户锁定分析器现在还会搜索手机登录(ActiveSync)和Outlook Web Access(OWA)。 利用 ADAudit Plus 的及时电子邮件告警，马上解决问题，防止由于用户帐户/服务帐户锁定而导致关键业务应用程序无法正常工作。 满足SOX、PCI-DSS、FISMA、HIPAA、GLBA合规要求...使用ADAudit Plus维护已锁定帐户、用户密码重置、密码已被更改的用户的审核记录，以及审核更多AD对象。 监控管理员、帮助台、人力资源部等执行的活动。此外，为IT审核员提供‘仅报表视图’登录。已配置域的所有关键审核数据的单一视图。 为帐户锁定、未经授权访问设置电子邮件告警。使用XLS、CSV、PDF和HTML格式的报表来归档AD事件数据，以用于安全和取证目的。 帐户锁定分析器报表样例 Windows用户帐户锁定分析器工具 了解用户/服务帐户被锁定的原因。选择筛选属性并获取清晰的事件详细信息报表。 关于ADAudit Plus审核 ADAudit Plus是一个基于web的实时Windows Active Directory和Windows服务器更改报表软件，提供有关Windows Active Directory、Windows工作站登录/注销、 Windows文件服务器 和成员服务器的审核记录报表，帮助满足最需要的安全、审核和合规需求。使用200多个详细事件特定报表和实时电子邮件告警跟踪...

 使用 DataSecurity Plus 保护您组织的机密数据免遭不当访问，未经授权的更改或潜在的盗窃。此文件更改审核和告警工具提供持续的更改跟踪，深入审核，合规性报表和实时告警，以及早发现潜在的安全威胁足以最大限度地减少对组织的损害。 DataSecurity Plus告警配置文件文件安全性更改报表 DataSecurity Plus的亮点 一、实时变更监控 通过持续的实时变更监控获取对文件服务器环境的可见性，并在关键文件更改陷入安全问题之前主动跟踪，监控和告警。 二、即时通知 使用我们的实时文件审核功能，通过电子邮件即时通知所有未经授权的文件修改和权限更改，并捕获极其时间敏感的事件，如勒索软件攻击。 三、预配置的告警 创建自己的不同严重性的自定义告警，包括严重，麻烦和注意力。根据用户，时间，操作和卷为每个严重性级别分配阈值，以检测，警告和响应潜在威胁。 四、响应自动化 使用我们的自动响应机制保护您最重要的资产。执行可自定义的批处理文件或自定义脚本以阻止其中的威胁。 五、简化合规性 获取SOX，HIPAA，PCI DSS，GDPR等法规规定的多种合规性要求的实时告警和变更跟踪。 六、细粒度的报表 生成可操作的实时更改报表，列出已生成告警的事件的所有相关审核功能特性，例如谁更改了什么，何时以及从何处更改事件响应。 七、更改跟踪 使用更改跟踪可持续监控所有关键文件更改，并快速识别异常用户行为，例如多次失败的访问尝试和文件修改中的峰值，以防止内部威胁。 文件服务器审计 想了解关于DataSecurity Plus产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  如果您想了解某个服务台技术人员一周内在 Active Directory 中做了哪些更改，您会怎么做？或者，作为安全事件调查的一部分，需要为特定用户提取更改审计跟踪？ Active Directory PowerShell可以提供帮助，但肯定需要付出很大的努力来提供调查所需的可见性和关联性，这正是 ADAudit Plus 加入其搜索实用工具的内容。 ADAudit Plus ADAudit Plus为您提供搜索功能，使您能够即时跟踪Active Directory中指定用户的足迹。使用简单而直接，这个搜索需要三个输入 - 您需要对其进行审计跟踪的用户名、域和时间段 - 然后您将立即获得以下合并摘要： 对象历史记录：有关帐户的配置更改摘要。例如，对指定 帐户的权限更改 、锁定次数或最近尝试重置密码的次数。 登录历史记录：指定帐户进行的所有类型的访问摘要，包括交互式或远程访问。 操作：所选时间段内相关帐户在其他Active Directory对象上执行的配置更改摘要。 一、深入研究审计数据 合并摘要中提供的每个细节都是一个链接，它将进一步展开详细的报表。例如，在仔细查看管理员一周内活动的结果时，您可以出于比较旧值和新值或其他目的，单击打开GPO修改报表来仔细查看。 二、所有有价值的信息放在同一个地方：正确的信息组合可以更好地进行调查 从事件调查的角度来看，这种搜索能力将所有重要的取证信息组合在一起，即 使用犯罪者帐户（调用方用户名）所进行的操作 相关帐户（调用方用户名）在Active Directory中所做的更改 该帐户（调用方用户名）的登录历史记录，以帮助您识别进行这些更改的计算机，并识别任何其他计算机访问 当把所有这些信息拼凑起来并进行分析时，它们可以提供更好的上下文背景，从而使您能够轻松地把信息点连接起来，甚至将调查引导到正确的方向。例如，假定您怀疑用户A已经篡改了Active Directory。您使用审计跟踪搜索进行调查。 结果显示用户A从计算机X访问Active Directory，在Active Directory中创建了一个新的用户帐户，然后将其删除。 然后您使用搜索来追踪已删除帐户的操作。总结结果并可以获得如下解释： 已删除帐户的权限已被服务台技术人员(HDT)不适当地提升。 这表明HDT作为共犯参与。 已删除的帐户从计算机Y进行登录并...

  当网络上发生特定事件时， EventLog Analyzer 可以通过多种方式进行响应。EventLog Analyzer可以 实时生成告警  - 发送电子邮件或短信通知给指定的接收者 - 或运行由管理员提供的自定义脚本。通过所提供的多个选项，用户可以确保不会错过任何安全事件。 EventLog Analyzer 一、 电子邮件告警 自定义电子邮件告警的主题和正文以包含触发告警的原始日志消息中的特定字段。 以HTML或纯文本格式生成电子邮件告警。 在电子邮件告警正文中包含可能对响应告警的人员有用的附加注释。 仅通过包含服务器名称、端口号和发件人电子邮件地址来配置告警邮件服务器。 每次发送电子邮件告警时都使用安全的TLS连接，以便在需要时提供更高的安全性。 随时启用或禁用电子邮件告警，并为每日发送的电子邮件数量设置限制。 二、短信告警 短信告警包含一小段文字，其中包含触发告警的日志消息的基本信息。选择短信告警中包含原始日志消息中的哪些字段。 只需输入GSM通信端口名称即可开始生成短信提醒。 限制每天发送的短信告警的数量。 三、自动回复 为特定事件指定自定义脚本，以便在每次出现特定告警条件时由EventLog Analyzer触发脚本。将日志消息字段作为参数转发至自定义脚本。 使用基于脚本的响应以各种方式处理告警条件。以下是一些基于脚本的响应示例： 生成声音告警。 将特定信息写入文件。 发送SNMP陷阱。 将内容发布到社交源，如内部RSS源。 告警通知 想了解关于EventLog Analyzer产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  利用连续的用户活动监视和详细报表来增强内部威胁检测策略 内部威胁 利用用户行为分析立即发现内部威胁指标，例如： 多次登录失败 确定每次登录失败尝试的根源和原因，并找到登录失败百分比最高的用户帐户。 用户活动异常 识别可疑的用户活动，例如异常大量的事件和在异常时间执行的文件活动。 特权升级 审核特权使用情况，并报表关键事件，例如密码重置，用户管理和特权升级。 横向运动 检测横向移动的指示符，例如异常的远程桌面活动，新进程的执行等。 数据处理不当 通过详细的文件完整性监控报表，跟踪文件删除，未经授权的文件更改以及文件访问异常激增。 数据泄露 检测插入域控制器，服务器或工作站的USB设备，并在将文件复制到它们时收到告警。 这就是 ADAudit Plus 的内部威胁检测工具如何帮助检测每种类型的内部攻击的方法。 ADAudit Plus 恶意内部人员 方案：恶意管理员重置关键用户的密码，并使用这些凭据访问和泄露机密数据。第二天，关键用户由于其过时的凭据而被锁定，并向管理员请求新密码。 使用ADAudit Plus，可以通过调查关键事件来跟踪内部攻击源，例如由流氓管理员进行的密码重置，关键用户帐户中异常的远程桌面活动，帐户锁定事件的详细信息等。 恶意内部人员 粗心的内部人士 场景：管理员意外地向员工授予过多特权，该员工继续使用这些特权泄露敏感数据。 使用ADAudit Plus，可以 关联有关特权升级的报表，用户首次执行特权操作以及将文件复制操作复制到USB设备以快速识别和纠正错误。 数据泄露 疏忽内幕 场景：研究人员无意中发现了可疑网站，该网站在网络中安装并执行了恶意可执行文件（例如勒索软件）。 使用ADAudit Plus，当此异常进程在主机上运行时触发告警。如果可执行文件启动了勒索软件攻击，则ADAudit Plus可以立即检测到它并关闭受感染的计算机，以防止其进一步传播。 ADAudit Plus提供的解决方案，利用ADAudit Plus，实时变更审核和威胁检测软件来增强内部威胁防护。

  日志管理 的第一步是 收集日志数据 。日志收集可能是一项具有挑战性的任务，因为某些系统（例如，防火墙、入侵检测系统和入侵防御系统）会生成大量日志数据的EPS（每秒事件数）。无论日志数据量和网络中的设备数量如何，实时收集和处理日志数据要求机构具有强大的日志收集机制。 日志管理 一、基于代理的和无代理的日志收集 EventLog Analyzer 可以从多个日志源收集日志，例如，Windows系统、Unix/Linux系统、应用程序、数据库、防火墙、路由器、交换机和IDS/IPS。Windows设备不需要代理就可收集日志，而syslog设备需要代理主要是为了负载均衡。因此，EventLog Analyzer被设计为支持基于代理的和无代理的日志收集机制，以迎合网络中的所有设备和应用程序。EventLog Analyzer的架构可调整规模，可支持最多20,000个日志源。 开始使用日志管理软件之前，务必配置每个设备的日志收集设置。这样一来，可通过仅保存真正需要的日志来节省存储空间。您可以使用本地组策略或syslog服务来配置日志收集设置。 收集日志 二、通用日志收集 而且，EventLog Analyzer支持使用通用 日志解析和索引 (ULPI)技术进行通用日志收集，这允许安全管理员解密和分析任何日志数据，而不理会其来源和格式如何。对于不同位置的日志源，所收集的日志数据将集中汇总并显示在单个控制台中。 三、自定义日志收集 EventLog Analyzer支持自定义日志收集，这意味着它可以通过Windows和Linux计算机上的文本文件收集事件。某些应用程序未遵循标准日志记录服务（Windows事件日志和syslog），而是将信息记录为文本文件。收集这些日志后，它们将解析为针对该特定日志数据创建的自定义字段。 EventLog Analyzer 想了解关于EventLog Analyzer产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！