Christian/ November 30, 2022/ Cloud, IT-Security, Netzwerk

Von xorlabs ActiveGuard als neuer Ansatz einer Mail-Security Lösung ist hier  schon mehrfach berichtet worden – daher möchte ich heute die Lösung nicht mehr als Ganzes vorstellen, sondern viel mehr ein spezifisches Feature heraus picken – dem Case Management von Reported Mails.

Was ist denn überhaupt die Challenge?

Wie jede Mail-Security Lösung muss man einen grad finden, wie scharf man filtert. Speziell Spams oder hochangepasste Phishing-Mails (z.B. Spear-Phishing) sind nicht immer leicht technisch zu detektieren und es rutschen doch mal ein unerwünschtes Mail durch. Entsprechend kommen beim Empfänger vereinzelt unerwünschte Mails an – was vereinzelt OK ist, doch sollten es mal mehr sein, so braucht es dann gewiss bei jedem Mail-Security ein bisschen feineres Tuning oder bei dediziertem Campaigns eine aktuelle Block-Regel. 

Doch wie finden wir als Admin das heraus? Warum lassen wir uns nicht durch unsere Endanwender helfen! Jetzt können wir natürlich jedem Empfänger es ermöglichen ein Ticket im eigenen Ticket-System zu öffnen und ein aufwändiges hin und her mit diesem und unserem Support-Kollegen wird stattfinden. Oder wir nutzen ein Reporting Tool – vielleicht sogar jenes, der Mail-Security Lösung selbst. 

xorlabs Case Management – einfach und effizient gemacht 

xorlab bietet ein sehr starkes feature in dem Bereich. Eine zu meldende Mail muss dabei nur als Anhang in ein neues Mail gepackt werden – damit auch alle Header des unerwünschten Mails enthalten sind – und an eine spezifische Adresse zum Mail-Gateway (dem ActiveGuard Gateway) gesendet werden. Dieser Vorgang kann für den Anwender natürlich mit einem «Reporting-Button» bzw. einem «Reporting-Plugin» in dem jeweiligen Mail-Client vereinfacht werden.

Ein so gemeldetes Mail landet dann im xorlab Management Center (dem XCC) und kann von einem Admin entsprechend behandelt werden. Es werden ihm dort alle Cases übersichtlich dargestellt und diese können dort einzeln oder in Gruppen bearbeitet werden.

Um mehr Details und eine spezifischere Auswertung zu fahren, kann ein gemeldetes Mail angeklickt und genauer ausgewertet werden. Auf einen Blick sind hier wichtige Parameter und ein Screenshot des Mails zu sehen (1) und weitere Detail (z.B. die vollständigen Mail-Headers) können spezifisch ausgewertet werden (2). 

Speziell hervorzuheben ist die Sektion «Similar», welche ähnliche Mails (z.B. anhand des Betreffs, eines ähnlichen Hash-Wertes, dem Fuzzy-Hash usw.) anzeigen lassen kann (3), wo durch schnell auch eine etwaige Campaign festgestellt und gleich eine Action dazu definiert werden kann.

Oben an der rechten Seite (4), kann der Case entsprechend mit einer Aktion bearbeitet werden (daher ob das Mail entsprechend Spam, Phising, BEC etc. handelt). 

Campaigns definieren – mehr Zeit gewinnen für einen Kaffee

Sollten wir eine Campaign z.B. anhand des «Similar content» entdecken, können wir direkt aus diesem Bereich (5) auch eine solche erstellen.

Beim Erstellen einer Campaign, muss entsprechend erstmal dieser eine Bezeichnung gegeben werden (1), anschliessend kann die Aktion der Campaign definiert werden, welche bei neu eintreffenden Mails ausgelöst wird (2) und ob vom Anwender rapportierte Mais entsprechend automatisch bearbeitet werden bzw. der Anwender eine Benachrichtigung bekommen soll (3).

Transparent für den Anwender – macht uns doch alle happy 🙂

Und jetzt kommt der Clou – der User bekommt je nach Konfiguration eine automatische Benachrichtigung. Daher er kann benachrichtigt werden, dass ein gemeldeter Case eingegangen ist, wenn dieser bearbeitet wurde oder automatisch durch eine Campaign geschlossen wurde.

Und ja – wir können dabei das Layout auch komplett nach den eigenen Bedürfnissen anpassen.

  • Ein eigenes Logo? – Kein problem.
  • Eigene Mail und Ansprechpartner in Footer? – Warum auch nicht.
  • Inhalt lieber auf Deutch? – Jup, mit etwas Aufwand in Deutsch oder übersetze es selbst in die Sprache deiner Wahl…

 

Share this Post