Manual de Usuario del Sirios OTRS VenCERT DERECHOS DE USO La presente documentación es propiedad de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de reproducción total o parcial, ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no podrá ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún concepto. Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar el mensaje y cualquier documento adjunto. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será sancionada conforme a la ley. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Versión y revisión 1.2 Responsable VenCERT Restricciones de uso Ver cuadro inferior Control de versiones Versión Áreas Descripción del cambio Autor --------------------------------------- VenCERT Fecha Modificadas 1.2 Todas DERECHOS DE USO La presente documentación es propiedad de la Superintendencia de Servicios de Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de reproducción total o parcial, ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no podrá ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún concepto. Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar el mensaje y cualquier documento adjunto. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será sancionada conforme a la ley. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Manual Usuario herramienta OTRS – SIRIOS En este apartado se dará una descripción de los distintos aspectos a destacar del interfaz de usuario de la aplicación SIRIOS – OTRS. El presente anexo ofrece una descripción de las funcionalidades más generales de la herramienta. ACCESO A LA HERRAMIENTA El acceso a la herramienta SIRIOS – OTRS se encuentra en la URL siguiente: https://<Direccion_IP_servidor>/otrs/index.pl Interfaz Gráfica de Usuario: Este interfaz permite acceder a la parte de la herramienta SIRIOS – OTRS destinada a los usuarios encargados de la gestión de los tiques. Para claridad en el resto del documento se ha de tener en cuenta que se denomina “agente” al operador que utiliza la aplicación para realizar alguna de las tareas relacionadas con la gestión de incidentes y se denomina “cliente” al miembro de la Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve comunidad a quien hace referencia un tique en concreto. En la interfaz de acceso de los agentes, el usuario puede acceder, seleccionar el idioma en el que se muestre el interfaz. VISIÓN GENERAL DEL INTERFAZ DE USUARIO Al acceder a la aplicación el aspecto de la pantalla es el siguiente (en este caso se corresponde con el rol “Admin” pero es válido para el objeto de este apartado) Tenemos que destacar las siguientes partes: • Barra superior de información general al usuario de SIRIOS – OTRS: Se muestra la información del usuario conectado (nombre, apellidos y rol asignado) y también se muestra la fecha y hora actual del sistema. • Botones para acceder a módulos de SIRIOS – OTRS: Los módulos que puede acceder el usuario dependerá del rol que tenga asignado. Dependiendo del rol del usuario que acceda se le mostrará los módulos a los que tenga permisos de acceso. El nombre del módulo al que se está accediendo aparece en un color distinto al resto para poder identificarlo. • Botones con las acciones por defecto del módulo seleccionado: Existe una acción, “ ”, que permite al usuario acceder a la gestión de algunos aspectos del funcionamiento de la aplicación y entre otras cosas al interfaz para cambiar la contraseña. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve • Las acciones para cada módulo son variadas: Módulo Acciones No tiene acciones específicas y se muestran las mismas que las de Ticket No tiene acciones específicas y no se muestra ninguna • Botones para acceder a los tiques del usuario: Permite acceder a los tiques nuevos (nuevo mensaje) en cualquiera de las colas a las que él pueda acceder, a la lista de tiques que el usuario tiene bloqueado y que él es el único que puede modificar, y por último la lista de tiques en el que el usuario está asignado como responsable. • Mensajes del sistema: En esta zona el sistema SIRIOS – OTRS nos mostrará información variada. En el ejemplo se muestra los roles que se han conectado y nos informa que actualmente está conectado únicamente 1 usuario con el rol rol_superusuario, y también nos informa que tenemos un nuevo mensaje / tique. En caso que hubiera información a enviar al usuario, el sistema emplea esta zona y el icono de advertencia para realizar las comunicaciones. • Zona para la navegación entre las colas: En la barra superior aparece el nombre de la cola de la que se está visualizado más abajo el listado de todos los tiques. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve A continuación se muestran en 2 niveles los workflows y las colas a las que el usuario tenga acceso. La información que se muestra es: • Entre paréntesis el número total de tiques ya sea en la cola o, en el caso de un workflow, de todas las colas que lo componen. • Si el nombre de la cola o del workflow está en azul y subrayado significa que tiene derechos de acceso superiores como mínimo a simplemente lectura. • Si el nombre de la cola o del workflow está en gris y subrayado significa que tiene derechos de acceso únicamente de lectura. • Si el nombre de la cola o del workflow está en gris significa que no se tiene derechos de acceso (y de hecho no se trata de un enlace sino que es simplemente un texto). Haciendo clic en el nombre de una cola a la que tengamos derechos de acceso al menos de lectura, justo debajo de la zona de navegación entre colas se mostrará un listado de todos los tiques de la cola en concreto. Esta zona es propiamente dicha donde aparece la lista de tiques que se encuentran en la cola seleccionada. Hay que destacar que los tiques aparecen ordenados por orden inverso de antigüedad, es decir los más antiguos aparecen en primer lugar puesto que, a priori, a igual prioridad deberíamos atender primero a los más antiguos. Base de Datos de Clientes Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve SIRIOS – OTRS mantiene una base de datos de “clientes”, entendidos como personas pertenecientes a la comunidad a la que se presta servicios. Desde este interfaz es posible en un principio crear nuevos usuarios. El interfaz de gestión de usuario se accede con el botón,“ ”: OPERACIONES CON TIQUES Creación de Tiques Nuevos Existe la posibilidad que un agente introduzca de manera manual un tique, mediante un tique telefónico o por correo electrónico Al abrir un tique telefónico ( ) tendremos que seleccionar el cliente a quien hacemos referencia y la cola en la que queremos que aparezca el tique de entre las que tenemos acceso por el perfil asignado al agente. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Si el tique creado es mediante el botón “ ”, también será necesario seleccionar la cola donde se creara el tique y cliente a quien pertenece. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Se enviará un correo electrónico a la dirección de correo electrónico que se tenga almacenada para el cliente que se seleccione y desde la cuenta configurada para la cola seleccionado . Búsqueda de Tiques en el Sistema Sirios – OTRS El sistema SIRIOS – OTRS puede mantener en un momento dado un gran número de tiques en diversas colas. Para localizarlos más ágilmente, existe la posibilidad de emplear el buscador que permite configurar gran número de parámetros de búsqueda. El acceso al buscador de tiques se realiza mediante los botones: “ Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve ”Y“ ”. Mediante la opción “Guardar perfil de búsqueda como patrón” podemos reaprovechar criterios de búsqueda complejos para utilizarlos en diversas ocasiones y no tener que diseñarlos de nuevo. Los resultados de la búsqueda se pueden presentar como: Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve El resultado en formato CSV nos permitirá realizar una exportación para ser empleado en otro sistema que comprenda el formato de valores separado por comas (CSV). Consulta del Listado de Tiques de una Cola Ya sea mediante la zona de navegación por workflows/colas, o bien por el acceso con los botones para acceder a los tiques del usuario (esquina superior derecha), se accede a un listado de tiques. Por defecto, los listados de tiques siempre los mostrará en formato reducido. En la acción “Preferencias” se puede modificar y mostrar el detalle, aunque no es recomendable debido a que se mostraría demasiada información y no resultaría especialmente práctico. La información reducida sobre el tique sería similar a la siguiente: 1 3 5 2 4 Se ha de destacar que en esta vista de un tique aparece la siguiente información: 1. barra con el identificador del tique y un texto que se corresponde con el Asunto (“subject”) del correo que generó inicialmente el tique, y por último la antigüedad del tique. Es importante recordar que el identificador del tique lo componen la etiqueta “AAAAMMDDXXXXXX” junto con el número de identificación del tique. 2. Fecha y hora en que se creó el tique. 3. Menú con las acciones que se pueden realizar sobre el tique: Se trata Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve únicamente de un subconjunto de todas aquellas que son posibles y vienen limitadas por el rol que tenga asignado el usuario, el estado bloqueado o no, y la propiedad o no del usuario sobre el tique. El conjunto final es más amplio y es posible acceder a él cuando se hace clic en “Detalle”. Se tiene que destacar el enlace “detalle” que nos permite acceder al tique individualmente y nos mostrará toda la información que le acompaña y una serie de acciones más completas que las que se pueden realizar desde el listado de tiques. 4. Resumen de los datos de estado del tique: Se muestra un resumen de los datos que definen el estado de un tique: • Estado. • Prioridad: para las prioridades alta y muy altas esta zona aparecerá en rojo y para los niveles inferiores en gris. • Número de identificación del cliente: se ha configurado para que el identificador del cliente sea la dirección de correo electrónico del cliente que envió la notificación. • Cola en la que se encuentra. 5. Resume del Contenido del Tique: Contiene el nombre del cliente, la dirección a la que se envió y el campo “asunto” del mensaje. Si en hace clic en el enlace “detalle” se hace un “zoom” al tique y podemos obtener todo el detalle de un tique. Consulta del Detalle de un Tique Cuando se accede al detalle de un tique, la información del mismo se presenta del siguiente modo: Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve 6 1 2 3 4 5 Tenemos que destacar las siguientes partes: 1. Resumen de la información más relevante sobre un tique a destacar: • Estado: por defecto en el sistema existen los siguientes: • Abierto: Una vez se comunica el agente con el cliente por primera vez, este será el nuevo estado. • Cerrado con éxito. • Cerrado sin éxito. • Mezclado (ver más adelante en este mismo apartado). • Pendiente de recordatorio. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve • Pendiente de cierre automático con éxito. • Pendiente de cierre automático sin éxito. • Bloqueado / Desbloqueado: Indica si el tique esta siendo utilizado. • Proridad: Indica la prioridad del tique. 1. Muy Bajo. 2. Bajo. 3. Normal. 4. Alto. 5. Muy Alto. • Colas: Indica la cola en la que se encuentra el tique. • Hotline. • Incident. • Coordination. • Propietario: indica el agente que esta asignado a la atención del tique. • Enlazado: un tique puede vincularse con otros objetos almacenados en la base de datos de SIRIOS – OTRS. Estas relaciones permiten crear dependencias de Padre-hijo o bien de igual a igual entre objetos de modo que se pueda obtener una visión jerárquica de los objetos manejados por SIRIOS – OTRS. 2. Listado de las acciones realizada con el tique: se trata de un listado de todos los correos enviados o recibidos, notas creadas con relación al tique u otras acciones. Existe un código de colores: • Blanco: Correo entrante de un cliente. • Verde: Correo saliente emitido por un agente. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve • Amarillo: Correo saliente emitido autónomamente por el sistema. • Rojo: Notas correspondientes a distintas acciones que no implican envíos o recepciones de correos electrónicos. 3. Detalle del tique: se muestra el detalle del item de la lista 2 que aparece en cursiva y con los caracteres “|-->>>”. 4. Área para relacionarse con el “cliente”: ya sea mediante un correo electrónico o mediante una llamada de teléfono, en cuyo caso aparecerá un formulario para recoger toda la información tratada en la llamada de teléfono. En caso de enviarse un correo electrónico se empleará las plantillas por defecto que se hayan configurado para la cola en concreto donde se esté trabajando. Como mínimo siempre existirá una plantilla correspondiente a un correo vacío. 5. Mover tique a otra cola: es necesario ser propietario del tique y tener derechos de creación de tiques en la otra cola. 6. Listado de las acciones: Consiste en un menú completo de acciones que es posible realizar sobre un tique. Acciones Sobre un Tique Dentro del listado de acciones que se pueden llevar a cabo dentro de un tique se encuentran las siguientes: • Regresar: vuelve al modo listado de tiques • Bloquear / Desbloquear: cuando se hace un “zoom” sobre un tique, éste queda bloqueado por el agente y el resto de agente de SIRIOS – OTRS puede visualizarlo Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve pero el número de acciones que podrá realizar es mucho más reducido. • Historia: muestra un listado detallado de todas las acciones que se han realizado sobre un tique permitiendo tener la trazabilidad exacta de su ciclo de vida. • Imprimir: nos muestra en una ventana distinta una vista más adecuada para ser imprimida. • Prioridad: permite cambiar la prioridad de un tique. • Vínculo: al ser una herramienta para la gestión de incidentes de seguridad y la casuística de un incidente puede ser muy diversa, es posible que sea necesario enlazar el tique de un incidente con otros objetos gestionados en SIRIOS – OTRS para poder reflejar correctamente la situación. La vinculación puede realizarse de 3 modos que reflejan de manera lógica la relación jerárquica entre los objetos vinculados. La relación puede ser: • Normal: simplemente reflejamos que existe una relación entre ambos objetos. • Hijo: queremos reflejar que existe una relación de dependencia del objeto enlazado frente al tique • Padre: queremos reflejar que el tique depende en cierto modo del objeto enlazado. Los vínculos pueden representar relaciones entre iguales (se denominan en SIRIOS – OTRS como normales) y de padre a hijo. Las situaciones en que se pueden necesitar emplear un tipo u otro son variadas. Por ejemplo se relacionaría con vínculos normales a tiques correspondientes a incidentes en distintos clientes pero que son similares sino iguales (por ejemplo el ataque de un gusano / virus puede suceder en varios clientes). También puede ser se relacionen con un vínculo Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve padre – hijo a un objeto que se haya almacenado en la base de datos de SIRIOS – OTRS (una vulnerabilidad o un código malicioso almacenado como un “artefacto”) y todos los incidentes que deriven de ese objeto. De este modo tendríamos una relación de padre (el objeto vulnerabilidad o artefacto) y varios hijos (los tiques correspondientes a los incidentes causados por ese objeto) y podríamos observar rápidamente los efectos causados por un objeto en nuestra comunidad. Las relaciones de vínculo se pueden establecer cuando estamos trabajando con un tique. Haciendo clic en la acción “Vínculo” accedemos a un formulario de búsqueda donde podremos buscar objetos con los que enlazar el tique. Por ejemplo podemos buscar un artefacto: La interfaz permite realizar una búsqueda en cualquiera de los elementos que son posibles enlazar. Los objetos con los que se pueden enlazar un tique son: • Otros tiques • Vulnerabilidades almacenadas en la base de datos de SIRIOS – OTRS (ver más adelante en este documento). • Artefactos almacenados en la base de datos de SIRIOS – OTRS. De este modo podemos reflejar situaciones como por ejemplo, a partir de una vulnerabilidad podemos identificar todos los tiques que tiene una relación con esta vulnerabilidad. • Propietario: en esta acción podemos cambiar el propietario de un tique. Esta propiedad es importante puesto que sólo siendo propietario del tique se pueden realizar ciertas acciones. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve • Responsable: en esta acción podemos cambiar la persona que ha sido designada como responsable del tique. • Cliente: habitualmente el identificador del cliente siempre se dejará tal y como el sistema SIRIOS – OTRS lo determina al recibir el correo inicial que creó el tique y se establece que será la dirección de correo del usuario del portal que notificó el incidente. Pero en caso necesario, es posible cambiarlo. • Nota: Esta acción será empleada por los agente para incorporar como notas todas aquellas investigaciones o informaciones que se tengan que anexar al tique y que no se correspondan directamente con un correo electrónico recibido desde el “cliente”. Como nota se puede incorporar cualquier texto y además anexar un archivo. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve • Mezclar: en caso necesario, se pueden juntar tiques. En esta situación es necesario que el usuario conozca el identificador del tique a unir y que sea propietario de ambos tiques. En este caso, el tique fusionado cambia al estado “Merged” (fusionado / mezclado) y en el tique que lo ha absorbido nos aparecerá toda la información referente al tique absorbido así como una referencia en la zona de resumen (zona 1 anteriormente descrita en este mismo apartado) a este hecho. La situación en que se quiera o necesite mezclar 2 tiques puede ser variada, por ejemplo, 2 notificaciones de incidentes que resultan ser el mismo problema y se decide tratarlos como uno sólo. • Pendiente: En caso que el agente quiera tratar más tarde un tique y que por lo tanto no aparezca en la cola, lo puede dejar como pendiente. Se tendrá que indicar en que fecha quiere que el sistema SIRIOS – OTRS lo vuelva a mostrar. • Cerrar: se cierra el tique y se tiene que añadir una nota. • Incidente: esta acción no aparece en el listado de acción mostradas en el ejemplo porque se trata de una acción que únicamente está disponible cuando el tique está en la cola “Incident”. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Trabajando con incidentes SIRIOS – OTRS dispone de un módulo para la gestión de los registro de los incidentes. El módulo es accesible únicamente a los roles a los que se les haya dado permiso de acceso, en cuyo caso dispondrán del icono de incidentes. La pantalla que se muestra inicialmente es el resumen de la situación: Esta información muestra las estadísticas totales y anuales de incidentes, así como muestra un listado, por separado, de los tiques que tienen asociado un registro de incidente y están bloqueados (algún agente los está tratando) o bien están desbloqueado (ningún agente los está tratando). Con el botón “ ” existe la posibilidad de crear un nuevo registro de un incidente. Sin embargo, no hay que olvidar que un incidente siempre irá relacionado con un tique. De Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve modo que si se crea de este modo el incidente, de manera automática se creará un tique que recogerá toda la información que se vaya intercambiando el agente con el cliente. Independientemente del modo en que se cree el registro del incidente, el interfaz para recoger la información es el mismo. Se trata de un formulario que se rellena en 4 partes correspondientes a las pestañas que mostramos a continuación. Nota: El símbolo indica que el apartado no está completo, y el símbolo que el apartado contiene la información que como mínimo se espera recoger. Formulario de descripción general del incidente (“Specification”): Datos de contacto tanto de la parte que reportó el incidente como de la persona, y también la persona a la que hay que reportar la evolución del incidente. En muchos casos las 3 serán la misma. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Asimismo, si en el momento, alguno de los 3 actores no está presente en la base de datos de clientes de SIRIOS – OTRS, es posible crearlo en ese momento. El botón “New Contact” no llevaría al interfaz de gestión de clientes para introducir la información del nuevo cliente. Detalle de la información relacionada con el incidente, tanto de en sí lo sucedido como de la resolución. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Y finalmente, si se desea detallar aún más el incidente. SIRIOS – OTRS considera que un incidente se puede descomponer en uno o más eventos distintos. La herramienta nos ofrece unos formularios plantillas con los que podemos ir introduciendo la información correspondiente a cada uno de los eventos en que se pueda descomponer el incidente. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Una vez cumplimentado los distintos formularios del incidente, aún si existiesen partes con la marca indicativa que quedan campos relevantes por cumplimentar, es posible mostrar un informe sobre el incidente de cualquiera de estos modos: • Desde la pantalla de cumplimentación del incidente se hará clic en “ver” • En un tique que tenga asociado un incidente y ya se hubiera introducido alguna información, bastará con hacer clic en la acción “incidente” • En la pantalla resumen de los incidentes, se hará clic en cualquiera de los enlaces correspondientes a los identificadores de incidente. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve De entre las acciones disponible cabe destacar la acción “Exportar” que nos permitiría crear un archivo en formato estándar IODEF 1 para la compartición de incidentes y avisos de seguridad entre distintos CERTs. También es interesante destacar que si el tique que contiene el incidente registrado ha sido vinculado con algún objeto, esta información aparecerá en el detalle del incidente. Asimismo mediante la acción “Imprimir” es posible generar un documento que tiene un formato más adecuado para ser impreso. 1 http://www.cert.org/ietf/inch/inch.html Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Trabajando con vulnerabilidades SIRIOS – OTRS en su módulo Vulnerabilidades permite mantener una base de datos de vulnerabilidades. Mostramos a continuación una búsqueda en la base de datos de vulnerabilidades. La herramienta permitiría introducir nuevas vulnerabilidades desde su propio interfaz. Sin embargo, si existen otras fuentes de información y se dispone de estas vulnerabilidades en otras bases de datos es posible importarlas. La herramienta SIRIOS – OTRS en si misma facilita un script ejecutable por línea de comandos para importar las vulnerabilidades emitidas en proyecto OSVDB – OpenSource Vulnerability Database (http://osvdb.org/). Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Trabajando con artefactos SIRIOS – OTRS permite mantener una bases de datos de objetos de diversos tipos que pueden resultar de interés a un CERT en la realización de sus tareas. Estos objetos pueden tratarse de: • Binarios: ejecutables como por ejemplo de un virus o un ejecutable que explotará una vulnerabilidad con intenciones maliciosas, un código de un gusano, etc. • Código fuente para la demostración de algún aspecto técnico (no tiene porque tratarse de una vulnerabilidad) • Código fuente o ejecutable de un “Exploit” de demostración de una vulnerabilidad (lo que se suele conocer como una “prueba de concepto”) • “Exploit” de una vulnerabilidad que puede ser o no malicioso. • Un extracto de un fichero de log • Otro artefacto no clasificable en las categorías anteriores. Las acciones se reducen a realizar una búsqueda que nos mostraría en un listado los artefactos que cumplen con nuestros criterios de búsqueda: O un formulario para “subir” al servidor el objeto: Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve Cuando se visualiza un artefacto es posible emplear la acción “Vínculo” para enlazarlo con otro objeto (artefacto, tique o vulnerabilidad) La información de los distintos tipos de enlaces se mostrará en la pantalla del detalle del artefacto. De este modo mantendremos la información de la relación entre artefactos y tiques e incidentes en que el artefacto ha estado relacionado. Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela. Tlf: +58 212 5785674 – Fax: +58 212 212 5645993 http://www.suscerte.gob.ve – https://www.vencert.gob.ve