Serveis a Usuaris. Centre de Coneixement

Comparteix:

Fortigate - Possible Backdoor

Rebem l'alerta

  • To: atic@upc.edu
  • From: Splunk Cloud <alerts@splunkcloud.com>
  • Subject: FIATC N1: Fortigate - Possible Backdoor
  • Exemple de missatge:

Verificar tiquets existents

JIRA UPC

Primer hem de verificar si hi ha algun tiquet que coincideix amb l'alarma rebuda per no duplicar tiquets.
Cerca automàtica de tiquets JIRA --> Fortigate - Possible Backdoor

JIRA FIATC

Revisar si ja existeix un tiquet obert pel mateix Src_IP:
             a) Sí hi ha tiquet creat. Afegir un comentari amb la nova informació rebuda.
             b) No hi ha tiquet creat. Crear un nou Ticket.

 

Creació de tiquet

JIRA FIATC

Obrir una nova Issue al portal de Jira (FIATC) al projecte SMSG: Incidencias de Seguridad (SMSGIS) amb les dades que trobem al missatge (Usuari vinculat, IP, intents de connexions)

  • URL Accés al portal Jira FIATC: https://fiatc.atlassian.net
  • Usuari: atic@ithinkupc.com
  • Contrasenya: es troba al BitWarden amb el nom Jira FIATC SOC

 

  • Cliquem a l’opció Create per crear la nova Issue
  • Al camp Project seleccionem l’opció SMSG: Incidencias de Seguridad (SMSGIS)
  • Al camp Issue Type cal seleccionar l’opció Incidència

 

  • Al camp Summary indiquem el text següent Fortigate - Possible Backdoor
  • Camp Components, cal seleccionar l’opció SOC

 

  • Al camp Description indiquem les dades que ens trobem al missatge de l'alerta segons la següent plantilla.

Bon dia,

S’ha detectat que el dia <Time> s’ha produït una connexió des de la IP <Src_IP> en <Client> cap a la següent URL <URL>.
L'estat de la connexió es <Action> on s'ha intentat realitzar <Num_Eventos> cops. 

[TAULA]

Gràcies.
  • Per últim i molt important, al camp Assignee seleccionarem sempre l’opció Unassigned perquè qualsevol dels tècnics la puguin gestionar.

 

NOTA: Fora d'horari laboral (17:00 - 8:00h) un cop s'ha obert la Issue, posarem un comentari per notificar la nova alerta al tècnic de FIATC. Posarem @Miquel Camacho i seleccionarem el seu usuari com es veu a la següent imatge.

(NO es notifica entre les 8:00 - 17:00h)

 

JIRA UPC

Crear un tiquet amb les següents dades:

  • Proyecto: EATIC
  • Tipo de incidencia: Incidència
  • Urgència: baixa
  • Impacte: baix
  • Servei: N8.1 - SOC (Security Operations Center)
  • Subservei: SOC FIATC N1
  • Resum: FIATC N1: Fortigate - Possible Backdoor - <SMSGIS-XXXX>
  • Descripció: <La mateixa que s'ha posat al tiquet al portal del client>
  • Assignee: <Tècnic creador de la incidència>
  • Grup de  suport: CyberSOC

Deixarem el tiquet en estat pendent durant tres dies per fer el seguiment (queda assignat a CyberSOC). El tiquet NO s’ha de tancar fins que la Issue relacionada també estigui tancada.

Si ens arriba un missatge a la bústia d’atic (atic@upc.edu) amb alguna resposta que ha fet el client des de la issue de Jira que requereixi alguna acció per part de N1, l’afegirem com a comentari del tiquet i l'escalarem a l’equip CyberSOC.