Serveis a Usuaris. Centre de Coneixement

Comparteix:

Windows - Disabling CMD Application

Recibimos la alerta:

  • To: atic@upc.edu
  • From: Splunk Cloud <alerts@splunkcloud.com>
  • Subject: Mazars N1 Alert: Windows - Disabling CMD Application
  • Ejemplo de mensaje:

Verificar tiquets existentes

Jira

Primero debemos verificar si existe algún tiquet que coincide con la alarma recibida para no duplicar tiquets.
Búsqueda automática de tiquets JIRA -->  Windows - Disabling CMD Application

  •  JIRA UPC

    Crear un tiquet a Jira con los siguientes datos:

    • Proyecto: EATIC
    • Tipo de incidencia: Incidencia
    • Informador: usuari.mazars
    • Urgència: baixa
    • Impacte: baix
    • Servei: N8.1 - SOC (Security Operations Center)
    • Subservei: SOC Mazars N1
    • Resumen: Mazars N1: Windows - Disabling CMD Application - host
    • Descripción: 

      Buenos días,

      A las <date> se ha detectado la modificación del Registry Key que controla la ejecución de CMD en el dispositivo <dest> por el usuario <user>.
      Esto provoca la inhabilitación de la herramienta CMD.

      Se debe verificar la legitimidad de la acción.

      Gracias.

    • Assignee: <Técnico creador de la incidencia>
    • Grup de  suport: CyberSOC

  • Cuando tengamos el ticket creado debemos enviar un mail a través de JIRA a la dirección soporte.tic@mazars.es .

    Dejaremos el ticket en estado pendiente durante 15 días como máximo para realizar el seguimiento. El ticket puede cerrarse al alcanzar la fecha máxima de resolución ( 15 días ) o al recibir notificación del cliente referente a la alarma.

 

IMPORTANTE:

Pueden llegar notificaciones al buzón de ATIC (atic@upc.edu) con alguna respuesta generada por el cliente "Mazars" .

Las notificaciones pueden ser diversas, algunas no requieren de ninguna acción, pero debemos prestar atención al siguiente tipo de notificaciones:

  • Incidencia "XXXXXX" ha sido resuelta: Se indica que los técnicos de Mazars han cerrado la incidencia. Debemos copiar la información del mensaje y cerrar el tiquet asociado "XXXXXX" en nuestro gestor de tiquets una vez se ha puesto el comentario con la información.

  • Acción en relación al nº XXXXXX: Se indica que un técnico de Mazars ha puesto un comentario en el tiquet de EasyVista que puede estar dirigido a nosotros (SOC N1/N2) y requiera de alguna acción por nuestra parte. Añadiremos la información como comentario al ticket y lo escalaremos al equipo CyberSOC. También se debe notificar a los técnicos de N2 mediante el chat (SOC N1/N2) para que estén avisados y puedan ejecutar las acciones necesarias.