OWA/ActiveSync

概述

Rapid7对OWA/ActiveSync活动的监视了解到这些组件的行为与IIS组件一样。因此,您可以在收集器上配置目录监视程序,以监视运行Exchange软件的计算机的IIS日志,并查找与OWA/ActiveSync签名匹配的web请求。

如果在OWA/Exchange服务器前面有一个负载平衡器(如Netscaler),您可能会遇到,所有用户的源IP都是负载平衡器,而不是真正的IP地址。

若要解决此问题,必须为标头添加x-forwarded并使用IIS登录。您可以了解有关如何执行此操作的更多信息在这里

为收集器准备OWA/ActiveSync

要使收集器接收来自Microsoft Outlook Web Access(OWA)和ActiveSync服务的日志,请在服务器端执行以下步骤:

  1. 确定对运行OWA / ActiveSync负责生成的Internet信息服务(IIS)进程的日志的目标文件夹。
  2. 确保IIS将预期字段记录到日志文件中。
  3. 使用只读凭据共享日志文件夹,该凭据也将输入InsightOps。

Internet信息服务配置

执行以下步骤:

  1. 收集OWA / ActiveSync日志以进行Insightops,以确定哪个服务器负责处理OWA / ActiveSync客户端请求。
  2. 从“开始”菜单启动IIS管理器。
  3. 单击IIS管理器中的日志记录图标。
  4. 日志模块显示记录IIS日志的位置以及如何指定要记录的确切字段。记下日志文件夹,因为您需要在InsightOps事件源中输入此文件夹。
  5. 单击“选择字段”按钮以选择要记录的相应字段。

为日志文件选择的字段应与以下屏幕捕获中显示的字段完全匹配:

  1. 单击“确定”按钮以保存更改。

Windows文件系统配置

配置日志文件夹以允许收集器访问日志。

  1. 在Windows资源管理器中,右键单击IIS日志文件夹,然后单击属性。
  2. 在“高级共享”下的“属性”下,“勾号”共享此文件夹,然后单击“权限”按钮。
  3. 单击“添加...”,并提供将访问此目录的凭据。当设置OWA / ActiveSync事件源时,此凭据的用户名和密码也将在Insightops中输入。

使用insight tops配置OWA

您可以配置OWA事件源,以便通过UNC标记和提供设置共享文件夹时使用的凭据来读取共享文件夹。UNC表示法是Microsoft的通用命名约定,它是用于描述网络资源位置的常用语法。

注意:由于这些IP的地理位置通常非常不准确,移动提供商GeoIPS不会出现在入口活动地图上。通过无线网络的移动登录仍会显示在您的入口地图上。

执行以下步骤以使用InsightOps配置OWA。

  1. 从事件源下拉列表中选择Microsoft ActiveSync&Outlook Web Access。
  2. (可选)在“显示名称”字段中输入此事件源的显示名称。
  3. 单击“监视目录”按钮以定义Collection方法。
  4. 刻度手表共享远程目录。
  5. 从凭证下拉列表中选择适当的凭证。
  6. 在用户名字段中输入用户名。
  7. 从类型下拉列表中选择适当的类型。在本例中,选择了密码。
  8. 在文件夹路径字段中输入文件夹路径。
  9. 单击“保存”按钮。

将日志格式化为ELFF格式

IIS日志的不同日志格式是详细的在这里。Insightops仅支持ELFF格式的日志。日志必须按下列顺序具有正确的字段。任何其他字段都可以在日志中,但必须在“SC-Win32-Status”字段之后。

解决OWA/ActiveSync日志记录问题

如果存在MDM,负载均衡器或将外部端点连接到ActiveSync和ActiveSync服务器之间的其他设备,则Actiasync的IIS日志中的“源IP”将是错误的,因为它将指向源IP中间设备而不是外部端点的真实源IP,您将无法在地图上获得任何入口活动。

所有这些设备都有自己独特的方式在自定义HTTP请求字段中提供真正的源IP。要解决此问题,请完成以下操作:

  1. 转到Exchange Server以将其配置为高级日志记录,并配置高级日志以匹配基本日志
  2. 源IP(在这种情况下,在这种情况下,在这种情况下)使用新字段已添加设备,该字段表示外部端点的真实源IP。

IIS 7的高级日志记录

有关高级日志记录的Microsoft文档位于在这里

请注意您如何添加字段。将从高级记录器中的一些实际日志与基本记录器出来的日志进行比较。您可能需要第一次对高级记录器进行一些更改,以确保字段是您想要的,并且它们处于正确的顺序。

IIS 8.5的高级日志记录

您可以了解增强的日志记录在这里

现场订购如下:

          

           文本

            
           

          

           

            

             1

            日期时间s-ip cs方法cs uri系统cs uri查询s-port cs用户名c-ip cs(用户代理)sc状态sc子状态sc-win32-status

笔记:将切换C-IP的真实IP源IP地址,该IP地址是日志均衡器创建的自定义上述字段。