Serveis a Usuaris. Centre de Coneixement

Comparteix:

SOC2262 Fortigate - FortiToken Activated

Rebem l'alerta

  • To: atic@upc.edu
  • From: Splunk Cloud <alerts@splunkcloud.com>
  • Subject: FIATC N1: Fortigate - FortiToken Activated
  • Exemple de missatge:

Verificar tiquets existents

JIRA UPC

Primer hem de verificar si hi ha algun tiquet que coincideix amb l'alarma rebuda per no duplicar tiquets.
Cerca automàtica de tiquets JIRA --> Fortigate - FortiToken Activated

JIRA FIATC

Revisar si ja existeix un tiquet obert pel mateix User:
             a) Sí hi ha tiquet creat. Afegir un comentari amb la nova informació rebuda al nostre JIRA i al de FIATC.
             b) No hi ha tiquet creat. Crear un nou Ticket.

 

Creació de tiquet

JIRA FIATC

Obrir una nova Issue al portal de Jira (FIATC) al projecte SMSG: Incidencias de Seguridad (SMSGIS) amb les dades que trobem al missatge (Usuari vinculat, IP, intents de connexions)

  • URL Accés al portal Jira FIATC: https://fiatc.atlassian.net
  • Usuari: atic@ithinkupc.com
  • Contrasenya: es troba al BitWarden amb el nom Jira FIATC SOC

 

  • Cliquem a l’opció Create per crear la nova Issue
  • Al camp Project seleccionem l’opció SMSG: Incidencias de Seguridad (SMSGIS)
  • Al camp Issue Type cal seleccionar l’opció Incidència

 

  • Al camp Summary indiquem el text següent Fortigate - FortiToken Activated
  • Camp Components, cal seleccionar l’opció SOC

 

  • Al camp Description indiquem les dades que ens trobem al missatge de l'alerta segons la següent plantilla.

Bon dia,

S’ha detectat que a les <Time> s’ha produït una activació de FortiToken associada a l’usuari <User>.
L’esdeveniment reportat pel firewall és el següent: <Msg>, corresponent al client <Client>, amb un total de <Num_Eventos> ocurrències.

[TAULA]

Gràcies.
  • Per últim i molt important, al camp Assignee seleccionarem sempre l’opció Unassigned perquè qualsevol dels tècnics la puguin gestionar.

 

NOTA: Fora d'horari laboral (17:00 - 8:00h) un cop s'ha obert la Issue, posarem un comentari per notificar la nova alerta al tècnic de FIATC. Posarem @Miquel Camacho i seleccionarem el seu usuari com es veu a la següent imatge.

(NO es notifica entre les 8:00 - 17:00h)

 

JIRA UPC

Crear un tiquet amb les següents dades:

  • Proyecto: EATIC
  • Tipo de incidencia: Incidència
  • Urgència: baixa
  • Impacte: baix
  • Servei: N8.1 - SOC (Security Operations Center)
  • Subservei: SOC FIATC N1
  • Resum: FIATC N1: Fortigate - FortiToken Activated - <SMSGIS-XXXX>
  • Descripció: <La mateixa que s'ha posat al tiquet al portal del client>
  • Assignee: <Tècnic creador de la incidència>
  • Grup de  suport: CyberSOC

Deixarem el tiquet en estat pendent durant tres dies per fer el seguiment (queda assignat a CyberSOC). El tiquet NO s’ha de tancar fins que la Issue relacionada també estigui tancada.

Si ens arriba un missatge a la bústia d’atic (atic@upc.edu) amb alguna resposta que ha fet el client des de la issue de Jira que requereixi alguna acció per part de N1, l’afegirem com a comentari del tiquet i l'escalarem a l’equip CyberSOC.