第8章 ShareTech Sandstorm¶
現今釣魚郵件盛行,若以傳統的病毒過濾方式只能把惡意的程式過濾出來,對於新型態的釣魚郵件或郵件中有釣魚、木馬網址無法在第一時間阻擋,而 ShareTech 的 Sandstorm 機制就能阻擋這類的郵件。Sandstorm 將自動比對郵件中是否夾帶惡意的木馬、釣魚執行檔或是網址,當有比對到類似的郵件,就會主動將郵件阻擋,並且 Sandstorm 的資料會自動更新,維持郵件伺服器的阻擋力。Tip
影片參考|眾至MS教學 Sandstorm設定說明
8-1、基本設定¶
進入 ShareTech Sandstorm 介面後會顯示最後更新的時間,系統會每天自動檢查更新一次,點選【檢查更新】可執行立即更新。• 惡意程式過濾
圖8-1 惡意程式過濾¶
【惡意程式過濾功能】: 郵件伺服器預設為啟用惡意程式過濾功能,確保郵件安全。【版本】: Sandstorm 的資料庫會每天自動更新,並將資料庫存在本機,萬一跟更新伺服器斷線,此功能仍然有效。【不分析的附件副檔名】: 若確定這些附件副檔名的檔案不會有釣魚或是惡意 URL 時,可讓這類型檔案不進入 sandstorm 的資料庫比對。一行為一筆資料,可換行新增多筆。【要過濾的風險等級】: Sandstorm 會將資料庫中的釣魚郵件根據風險等級分成高、中、低 3 類,由管理者決定要套用哪些風險等級。【分析附件檔案的最大容量】: 當附件超過設定值就不會進入 sandstorm 的資料庫比對。數值需大於 0 KB,建議數值為 1024 KB。當分析檔案越大,所耗用的系統效能越重。【分析檔案】: 管理者可以將疑似釣魚、木馬的檔案上傳到 sandstorm 的資料庫比對,系統會告知比對結果。• 惡意程式處理方式當 Sandstorm 比對到惡意郵件後,該如何處理。
圖8-2 惡意程式比對後處理¶
【符合過濾的郵件轉到隔離區】: Sandstorm 比對到惡意郵件後,將郵件轉到隔離區,原來的收件者不會收到此郵件和通知信。【符合過濾的附件檔名改為】: Sandstorm 比對到惡意郵件後,將附件檔名改為指定文字,並將郵件傳給收件者。【清除符合過濾的附件內容】: Sandstorm 比對到惡意郵件後,將附件檔案清除再將郵件傳給收件者。【符合過濾的郵件通知信主旨】: Sandstorm 比對到惡意郵件後,發一封通知信給原來收件者,郵件的主旨如設定值,例如:This mail has Malware。• URL 過濾
圖8-3 URL 過濾¶
【URL 過濾功能】: 啟用後,郵件會進行 URL 過濾分析。【版本】: 目前的版本,系統會每天自動檢查更新一次。【要過濾的風險等級】: 要過濾的惡意程式風險等級,分為低、中、高風險。【分析連結】: 可將有問題的 URL 填入分析,比對資料庫。• IP 過濾
IP 過濾¶
【IP 過濾功能】: 啟用後,郵件會進行 IP 過濾分析。【版本】: 目前的版本,系統會每天自動檢查更新一次。【要過濾的風險等級】: 要過濾的惡意程式風險等級,分為低、中、高風險。【分析 IP】: 可將有疑慮的 IP 填入分析,比對資料庫。• 網域過濾
網域過濾¶
【網域過濾功能】: 啟用後,郵件會進行網域過濾分析。【版本】: 目前的版本,系統會每天自動檢查更新一次。【要過濾的風險等級】: 要過濾的惡意程式風險等級,分為低、中、高風險。【分析網域】: 可將有疑慮的網域填入分析,比對資料庫。• URL、IP、網域 處理方式
圖8-4 URL 處理方式¶
【符合過濾的處理方式】: 針對符合 URL、IP、網域 過濾的郵件,設定其處理方式。· 轉到隔離區:直接移至 Sandstorm 隔離區。· 增加垃圾郵件分數:符合過濾的郵件增加垃圾郵件分數。· 依據「垃圾郵件管理 > 基本設定」:根據定義的「更名/隔離/刪除」的分數百分比增加垃圾郵件分數。
8-2、Sandstorm 紀錄¶
8-3、Sandstorm 隔離區¶
根據發現的時間統計被隔離的郵件。
圖8-6 惡意程式統計¶
【寄件者 IP / 帳號】: 惡意郵件的寄件者 IP / 帳號。【收件者】: 惡意郵件的收件者,可以觀察哪個收件者帳號最容易被攻擊。Note
在「日誌查詢 > 12-21、日誌保留設定」中可設定 Sandstorm 隔離郵件在隔離區的保留天數,超過設定值的郵件將被刪除。