FireEye EX – это решение для защиты организации от направленных фишинг атак, которые обходят традиционные репутационные и антиспам технологии. Атаки направленного фишинга используют методы социальной инженерии для создания правдоподобных сообщений, которые заставляют пользователя перейти по ссылке или открыть вложение, что в последствии дает возможность киберпреступнику получить контроль над системой. Был собран стенд в нашей лаборатории:
In-Line (блокировка\мониторинг) :
Оповещение пользователей о попытке доставки вредоносных писем (в последствии они были заблокированы и отосланы в карантин):
Это была заметка о настройке и тестировании Fireeye EX в режиме MTA (In-Line(полиси блокировка)) Полный боевой комплект выглядит так:
- Users test,test2 - 192.168.8.11/192.168.8.12
- Fireeye EX - 192.168.1.113(mgmt ether1), 192.168.1.115 (MTA ip interface (pether4))
- DNS - 192.168.5.5
- Postfix + Dovecot - 192.168.1.115 ,конфигу брал тут: http://www.linuxspace.org/archives/5487
DNS config:
mail A 192.168.1.115 # postfix
mailpr A 192.168.1.116 # Fireeye MTA interface addr
Postfix + Dovecot config:
#cat /etc/postfix/vmail_mailbox
test@.com.ua .com.ua/test/
test2@com.ua .com.ua/test2/
Fireeye EX config:
Mgmt conf:
MTA config:
MTA ip - 192.168.1.116
Next-hop - mail.XXX.com.ua (192.168.1.115)
и Mail, для сообщения об алерте:
Суммарная информация об интерфейсах:
Настройки на клиентах следующее(test,test2) :
После успешной проверки корректной работы почты (отправка тестовых сообщений) было произведено тестирования блокировки сообщений с вредоносными прикрепленными файлами(в чистом виде/архивированные), получили следующий результат.
Оповещение пользователей о попытке доставки вредоносных писем (в последствии они были заблокированы и отосланы в карантин):
Это была заметка о настройке и тестировании Fireeye EX в режиме MTA (In-Line(полиси блокировка)) Полный боевой комплект выглядит так:
