어둡고 집중이 필요한 작업 공간에서 노트북 자판을 두드리는 손

스윔레인 연구팀, py-ews 오픈소스 공개

사용자 아바타
닉 타우섹
2 1분 읽기

 

피싱은 모든 조직에 영향을 미치며, 보안 운영(SecOps) 팀은 이메일 인프라 내에서 알려지지 않은 위협을 신속하게 해결하고 예방해야 합니다. 이러한 위협에 대응하기 위해 Swimlane 연구팀은 오픈 소스 기술을 공개했습니다. 파이우스 보안 및 IT 팀이 Python을 사용하여 Microsoft Exchange Web Services(EWS)와 상호 작용할 수 있도록 지원합니다.

왜 파이유스일까요?

조직들은 이메일 환경에서 악성 피싱 이메일과의 싸움을 계속하고 있지만, 보안 및 IT 팀은 사용자 사서함에 현재 무엇이 있는지에 대한 가시성이 제한적입니다. 파이우 이 도구는 보안 및 IT 팀이 위협에 더 빠르게 대응할 수 있도록 제어권을 되돌려주기 위해 개발되었습니다.

온프레미스 Microsoft Exchange 및 Microsoft Office 365는 PowerShell 또는 C# 기반 프로그램을 사용하여 프로그래밍 방식으로 액세스할 수 있으므로 Windows 운영 체제에서만 작업하는 경우에 매우 유용합니다. 또한 macOS 또는 *nix 기반 시스템에서 PowerShell Core를 사용하는 경우 원격 세션을 생성하여 Exchange 환경에 연결할 수 있습니다.

모두 훌륭한 선택지이지만, 파이우스 py-ews는 크로스 플랫폼을 지원하며 Python 2 및 3과 함께 작동하여 온프레미스 Exchange(2010~2019) 및 Office 365의 Exchange 웹 서비스와 직접 상호 작용합니다. 중간 단계나 컴파일된 코드가 없으므로 py-ews는 더 빠릅니다.

Exchange Web Services SOAP XML을 활용하면 Exchange eDiscovery 및 기타 EWS 서비스 엔드포인트와 직접 상호 작용할 수 있습니다. 이 글을 작성하는 시점에서 py-ews는 다음 엔드포인트를 지원합니다.

  • 검색 가능한 사서함 가져오기사용자가 검색 권한을 가진 환경 내 모든 사서함을 자동으로 식별합니다.
  • 메일함 검색마이크로소프트를 이용하면 고급 쿼리 구문 환경 내의 특정 사서함 또는 모든 사서함을 검색할 수 있습니다.
  • DeleteItem메일 항목을 영구 삭제, 부분 삭제 또는 삭제된 항목으로 이동할 수 있습니다.
  • 자동 검색자동 검색 기능을 사용하면 EWS와 통신할 때 단일 엔드포인트를 호출할 수 있습니다.
  • 이름 확인사용자의 이메일 주소를 속성을 검색할 수 있는 상세 사용자 객체로 변환합니다.
  • GetInboxRules특정 사서함의 받은 편지함 규칙을 설정합니다.

eDiscovery 엔드포인트를 사용하려면 다음 사항을 충족해야 합니다. 디스커버리 관리 권리 내 교환. Py-ews는 사용자/사서함을 가장하는 기능도 지원하지만, 그러려면 다음 조건을 충족해야 합니다. 인격화 Exchange 내에서의 권리.

대본

귀사와 같은 많은 보안 팀은 환경 내 악성 이메일에 대응해야 합니다. py-ews를 사용하면 Exchange 환경 내 사서함 목록을 가져와 검색한 후 식별된 악성 이메일을 삭제할 수 있습니다.

다음은 py-ews를 사용하여 이 작업을 수행하는 방법의 예입니다.

`pyews`에서 `UserConfiguration`, `pyews`에서 `GetSearchableMailboxes`, `pyews`에서 `SearchMailboxes`, `pyews`에서 `DeleteItem`을 가져옵니다. `userconfig = UserConfiguration('[email protected]', 'Password1234')`를 호출하여 계정 권한에 따라 검색 가능한 사서함을 가져옵니다. `referenceid_list = []`를 사용하여 `GetSearchableMailboxes`의 응답을 처리합니다. `referenceId`를 사용하여 사서함 목록을 생성합니다. `referenceId`를 사용하여 `referenceId`를 호출하여 `referenceId`를 추가합니다. `messages_found = []`를 사용하여 `SearchMailboxes`의 응답을 처리합니다. `subject:account', `userconfig`, `referenceid_list`를 사용하여 `search`를 호출하여 `messages_found`를 추가합니다. 특정 메시지를 삭제하려면 `DeleteItem` 클래스를 다음과 같이 호출할 수 있지만, `messages_found` 목록 전체를 전달할 수도 있습니다. deleted_message_response = DeleteItem(messages_found[2], userconfig).response

Py-ews는 다음에서 이용 가능합니다. 파이피 오늘부로 pip install pyews 명령어를 실행하여 설치할 수 있습니다.

파이유에 대해 더 읽어보세요.

SecOps Hub 로고

대화를 이어가세요

SecOps Hub는 보안 전문가들이 모여 SecOps 전략, 사고 대응 모범 사례, 그리고 SOAR(보안 오케스트레이션, 자동화 및 대응)을 통해 SecOps를 간소화하는 방법을 논의하는 커뮤니티입니다. 지금 바로 이 대화에 참여하여 의견을 나눠보세요!

지금 가입하세요

태그

연구

2019년 6월 19일
Swimlane은 SecOps 팀을 지원하기 위해 그래픽 기반 도구를 오픈 소스로 공개했습니다.
더 읽어보기
2020년 3월 2일
한 팀 두 팀 빨간 팀 파란 팀
더 읽어보기
2023년 4월 6일
Cobalt Strike 공격에 대응하기 위해 오픈 소스 위협 인텔리전스를 활용하는 방법
더 읽어보기

라이브 데모를 요청하세요