如何记录来自Outlook的附件已被单击以运行或下载到磁盘的事件？

Question

我正在开发一个解决方案来监视Windows上的安全事件。

需要监测的两个事件是：

• 已单击电子邮件(Outlook)的附件以运行或下载到磁盘
• 已单击电子邮件的链接。

有没有人在如何实现这两件事方面有经验？

Answer 1

我至少有两种方法可以做到这一点。

• Outlook扩展 最简单的方法就是写一个脚本。MailItem.BeforeAttachmentRead允许您查看用户将要打开/保存的内容，甚至允许您在发现可疑时取消它。您还可以使用其他几个相关的事件挂钩来自定义体验(检查文档)。不需要硬核内核级编程。
• 核钩 您还可以实现一个在后台运行的通用文件钩子，并报告Outlook可执行文件中的活动，但这可能比需要的要麻烦得多。Windows允许您监视文件创建的时间，但您将无法在预览附件时(据我从文档中确定)具体查看附件。

无论哪种方式，您都可以通过一个组策略对象部署您的包，这样就可以在用户不知情的情况下无形地安装它。安装后，您可以选择通过通常的通道记录这些附件，例如可以在事件查看器中查看的事件日志。