มีหลายองค์กรที่ใช้ Lotus Note Mail ทางทีมวิจัยและพัฒนา SRAN จึงได้เขียน Rule เพื่อจับลักษณะการใช้งาน Lotus Note ขึ้นโดยใช้หลักพิจารณาตามห่วงโซ่เหตุการณ์ (Chain of Event) คือ
Who : Mail ID , Subject Mail (อยู่ในระหว่างการพัฒนา)
What : ลักษณะการใช้งาน Lotus Note Mail , ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์ ส่วนใหญ่เป็นการส่งไปที่ Mail Server ที่เป็น Lotus Notes
Where : ไอพีต้นทาง (Source IP) และ Source Port , ไอพีปลายทาง (Destination IP) และ Destination Port
When : วันและเวลา
Why (How) : เป็นลักษณะการใช้งานที่เป็นการบุกรุก หรือ เป็นการใช้งานปกติ (ดูจากสีของ event ที่ปรากฏในหน้าจอ SRAN)
รูป สรุปการใช้งาน e-mail ภายในองค์กร
รูปหน้าจอที่แสดงผลการตรวจลักษณะการใช้งาน Lotus Note Mail โดยทำการเก็บบันทึกการใช้งาน IP ต้นทาง ปลายทาง ช่วงเวลาที่ใช้งาน
รูปแสดงค่า Payload ซึ่งแสดงความถูกต้องในการติดต่อสื่อสาร
