Formato Confidencial -VenCERT

Manual de Usuario del Sirios OTRS
VenCERT
DERECHOS DE USO
La presente documentación es propiedad de la Superintendencia de Servicios de
Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta
dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de
reproducción total o parcial, ni transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no
podrá ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún
concepto. Si usted ha recibido este mensaje por error, debe evitar realizar
cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al
remitente y borrar el mensaje y cualquier documento adjunto. El incumplimiento
de las limitaciones señaladas por cualquier persona que tenga acceso a la
documentación será sancionada conforme a la ley.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Versión y revisión
1.2
Responsable
VenCERT
Restricciones de uso
Ver cuadro inferior
Control de versiones
Versión
Áreas
Descripción del cambio
Autor
---------------------------------------
VenCERT
Fecha
Modificadas
1.2
Todas
DERECHOS DE USO
La presente documentación es propiedad de la Superintendencia de Servicios de
Certificación Electrónica SUSCERTE, tiene carácter privado y confidencial y esta
dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de
reproducción total o parcial, ni transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, digital, registro o cualquier otro, no
podrá ser distribuido sin el permiso previo y escrito de SUSCERTE, bajo ningún
concepto. Si usted ha recibido este mensaje por error, debe evitar realizar
cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al
remitente y borrar el mensaje y cualquier documento adjunto. El incumplimiento
de las limitaciones señaladas por cualquier persona que tenga acceso a la
documentación será sancionada conforme a la ley.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Manual Usuario herramienta OTRS – SIRIOS
En este apartado se dará una descripción de los distintos aspectos a destacar del interfaz
de usuario de la aplicación SIRIOS – OTRS.
El presente anexo ofrece una descripción de las funcionalidades más generales de la
herramienta.
ACCESO A LA HERRAMIENTA
El acceso a la herramienta SIRIOS – OTRS se encuentra en la URL siguiente:
https://<Direccion_IP_servidor>/otrs/index.pl
Interfaz Gráfica de Usuario:
Este interfaz permite acceder a la parte de la herramienta SIRIOS – OTRS destinada a los
usuarios encargados de la gestión de los tiques.
Para claridad en el resto del documento se ha de tener en cuenta que se denomina
“agente” al operador que utiliza la aplicación para realizar alguna de las tareas
relacionadas con la gestión de incidentes y se denomina “cliente” al miembro de la
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
comunidad a quien hace referencia un tique en concreto.
En la interfaz de acceso de los agentes, el usuario puede acceder, seleccionar el idioma
en el que se muestre el interfaz.
VISIÓN GENERAL DEL INTERFAZ DE USUARIO
Al acceder a la aplicación el aspecto de la pantalla es el siguiente (en este caso se
corresponde con el rol “Admin” pero es válido para el objeto de este apartado)
Tenemos que destacar las siguientes partes:
•
Barra superior de información general al usuario de SIRIOS – OTRS: Se
muestra la información del usuario conectado (nombre, apellidos y rol asignado) y
también se muestra la fecha y hora actual del sistema.
•
Botones para acceder a módulos de SIRIOS – OTRS: Los módulos que puede
acceder el usuario dependerá del rol que tenga asignado. Dependiendo del rol del
usuario que acceda se le mostrará los módulos a los que tenga permisos de
acceso. El nombre del módulo al que se está accediendo aparece en un color
distinto al resto para poder identificarlo.
•
Botones con las acciones por defecto del módulo seleccionado: Existe una
acción, “
”, que permite al usuario acceder a la gestión de algunos aspectos
del funcionamiento de la aplicación y entre otras cosas al interfaz para cambiar la
contraseña.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
•
Las acciones para cada módulo son variadas:
Módulo
Acciones
No tiene acciones específicas y se muestran las mismas que
las de Ticket
No tiene acciones específicas y no se muestra ninguna
•
Botones para acceder a los tiques del usuario: Permite acceder a los tiques
nuevos (nuevo mensaje) en cualquiera de las colas a las que él pueda acceder, a
la lista de tiques que el usuario tiene bloqueado y que él es el único que puede
modificar, y por último la lista de tiques en el que el usuario está asignado como
responsable.
•
Mensajes del sistema: En esta zona el sistema SIRIOS – OTRS nos mostrará
información variada. En el ejemplo se muestra los roles que se han conectado y
nos informa que actualmente está conectado únicamente 1 usuario con el rol
rol_superusuario, y también nos informa que tenemos un nuevo mensaje / tique. En
caso que hubiera información a enviar al usuario, el sistema emplea esta zona y el
icono de advertencia para realizar las comunicaciones.
•
Zona para la navegación entre las colas: En la barra superior aparece el nombre
de la cola de la que se está visualizado más abajo el listado de todos los tiques.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
A continuación se muestran en 2 niveles los workflows y las colas a las que el usuario
tenga acceso. La información que se muestra es:
•
Entre paréntesis el número total de tiques ya sea en la cola o, en el caso de un
workflow, de todas las colas que lo componen.
•
Si el nombre de la cola o del workflow está en azul y subrayado significa que tiene
derechos de acceso superiores como mínimo a simplemente lectura.
•
Si el nombre de la cola o del workflow está en gris y subrayado significa que tiene
derechos de acceso únicamente de lectura.
•
Si el nombre de la cola o del workflow está en gris significa que no se tiene
derechos de acceso (y de hecho no se trata de un enlace sino que es simplemente
un texto).
Haciendo clic en el nombre de una cola a la que tengamos derechos de acceso al menos
de lectura, justo debajo de la zona de navegación entre colas se mostrará un listado de
todos los tiques de la cola en concreto.
Esta zona es propiamente dicha donde aparece la lista de tiques que se encuentran en la
cola seleccionada. Hay que destacar que los tiques aparecen ordenados por orden
inverso de antigüedad, es decir los más antiguos aparecen en primer lugar puesto que, a
priori, a igual prioridad deberíamos atender primero a los más antiguos.
Base de Datos de Clientes
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
SIRIOS – OTRS mantiene una base de datos de “clientes”, entendidos como personas
pertenecientes a la comunidad a la que se presta servicios. Desde este interfaz es posible
en un principio crear nuevos usuarios.
El interfaz de gestión de usuario se accede con el botón,“
”:
OPERACIONES CON TIQUES
Creación de Tiques Nuevos
Existe la posibilidad que un agente introduzca de manera manual un tique, mediante un
tique telefónico o por correo electrónico
Al abrir un tique telefónico (
) tendremos que seleccionar el cliente a quien
hacemos referencia y la cola en la que queremos que aparezca el tique de entre las que
tenemos acceso por el perfil asignado al agente.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Si el tique creado es mediante el botón “
”, también será necesario seleccionar la
cola donde se creara el tique y cliente a quien pertenece.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Se enviará un correo electrónico a la dirección de correo electrónico que se tenga
almacenada para el cliente que se seleccione y desde la cuenta configurada para la cola
seleccionado .
Búsqueda de Tiques en el Sistema Sirios – OTRS
El sistema SIRIOS – OTRS puede mantener en un momento dado un gran número de
tiques en diversas colas. Para localizarlos más ágilmente, existe la posibilidad de emplear
el buscador que permite configurar gran número de parámetros de búsqueda.
El acceso al buscador de tiques se realiza mediante los botones: “
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
”Y“
”.
Mediante la opción “Guardar perfil de búsqueda como patrón” podemos reaprovechar
criterios de búsqueda complejos para utilizarlos en diversas ocasiones y no tener que
diseñarlos de nuevo. Los resultados de la búsqueda se pueden presentar como:
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
El resultado en formato CSV nos permitirá realizar una exportación para ser empleado en
otro sistema que comprenda el formato de valores separado por comas (CSV).
Consulta del Listado de Tiques de una Cola
Ya sea mediante la zona de navegación por workflows/colas, o bien por el acceso con los
botones para acceder a los tiques del usuario (esquina superior derecha), se accede a un
listado de tiques.
Por defecto, los listados de tiques siempre los mostrará en formato reducido. En la acción
“Preferencias” se puede modificar y mostrar el detalle, aunque no es recomendable
debido a que se mostraría demasiada información y no resultaría especialmente práctico.
La información reducida sobre el tique sería similar a la siguiente:
1
3
5
2
4
Se ha de destacar que en esta vista de un tique aparece la siguiente información:
1. barra con el identificador del tique y un texto que se corresponde con el Asunto
(“subject”) del correo que generó inicialmente el tique, y por último la antigüedad
del tique. Es importante recordar que el identificador del tique lo componen la
etiqueta “AAAAMMDDXXXXXX” junto con el número de identificación del tique.
2. Fecha y hora en que se creó el tique.
3. Menú con las acciones que se pueden realizar sobre el tique: Se trata
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
únicamente de un subconjunto de todas aquellas que son posibles y vienen
limitadas por el rol que tenga asignado el usuario, el estado bloqueado o no, y la
propiedad o no del usuario sobre el tique. El conjunto final es más amplio y es
posible acceder a él cuando se hace clic en “Detalle”.
Se tiene que destacar el enlace “detalle” que nos permite acceder al tique
individualmente y nos mostrará toda la información que le acompaña y una serie de
acciones más completas que las que se pueden realizar desde el listado de tiques.
4. Resumen de los datos de estado del tique: Se muestra un resumen de los datos
que definen el estado de un tique:
•
Estado.
•
Prioridad: para las prioridades alta y muy altas esta zona aparecerá en rojo y
para los niveles inferiores en gris.
•
Número de identificación del cliente: se ha configurado para que el
identificador del cliente sea la dirección de correo electrónico del cliente que
envió la notificación.
•
Cola en la que se encuentra.
5. Resume del Contenido del Tique: Contiene el nombre del cliente, la dirección a la
que se envió y el campo “asunto” del mensaje. Si en hace clic en el enlace “detalle”
se hace un “zoom” al tique y podemos obtener todo el detalle de un tique.
Consulta del Detalle de un Tique
Cuando se accede al detalle de un tique, la información del mismo se presenta del
siguiente modo:
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
6
1
2
3
4
5
Tenemos que destacar las siguientes partes:
1. Resumen de la información más relevante sobre un tique a destacar:
•
Estado: por defecto en el sistema existen los siguientes:
•
Abierto: Una vez se comunica el agente con el cliente por primera
vez, este será el nuevo estado.
•
Cerrado con éxito.
•
Cerrado sin éxito.
•
Mezclado (ver más adelante en este mismo apartado).
•
Pendiente de recordatorio.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
•
Pendiente de cierre automático con éxito.
•
Pendiente de cierre automático sin éxito.
•
Bloqueado / Desbloqueado: Indica si el tique esta siendo utilizado.
•
Proridad: Indica la prioridad del tique.
1. Muy Bajo.
2. Bajo.
3. Normal.
4. Alto.
5. Muy Alto.
•
Colas: Indica la cola en la que se encuentra el tique.
•
Hotline.
•
Incident.
•
Coordination.
•
Propietario: indica el agente que esta asignado a la atención del tique.
•
Enlazado: un tique puede vincularse con otros objetos almacenados en la
base de datos de SIRIOS – OTRS. Estas relaciones permiten crear
dependencias de Padre-hijo o bien de igual a igual entre objetos de modo
que se pueda obtener una visión jerárquica de los objetos manejados por
SIRIOS – OTRS.
2. Listado de las acciones realizada con el tique: se trata de un listado de todos
los correos enviados o recibidos, notas creadas con relación al tique u otras
acciones. Existe un código de colores:
•
Blanco: Correo entrante de un cliente.
•
Verde: Correo saliente emitido por un agente.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
•
Amarillo: Correo saliente emitido autónomamente por el sistema.
•
Rojo: Notas correspondientes a distintas acciones que no implican
envíos o recepciones de correos electrónicos.
3. Detalle del tique: se muestra el detalle del item de la lista 2 que aparece en
cursiva y con los caracteres “|-->>>”.
4. Área para relacionarse con el “cliente”: ya sea mediante un correo electrónico o
mediante una llamada de teléfono, en cuyo caso aparecerá un formulario para
recoger toda la información tratada en la llamada de teléfono.
En caso de enviarse un correo electrónico se empleará las plantillas por defecto
que se hayan configurado para la cola en concreto donde se esté trabajando.
Como mínimo siempre existirá una plantilla correspondiente a un correo vacío.
5. Mover tique a otra cola: es necesario ser propietario del tique y tener derechos
de creación de tiques en la otra cola.
6. Listado de las acciones: Consiste en un menú completo de acciones que es
posible realizar sobre un tique.
Acciones Sobre un Tique
Dentro del listado de acciones que se pueden llevar a cabo dentro de un tique se
encuentran las siguientes:
•
Regresar: vuelve al modo listado de tiques
•
Bloquear / Desbloquear: cuando se hace un “zoom” sobre un tique, éste queda
bloqueado por el agente y el resto de agente de SIRIOS – OTRS puede visualizarlo
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
pero el número de acciones que podrá realizar es mucho más reducido.
•
Historia: muestra un listado detallado de todas las acciones que se han realizado
sobre un tique permitiendo tener la trazabilidad exacta de su ciclo de vida.
•
Imprimir: nos muestra en una ventana distinta una vista más adecuada para ser
imprimida.
•
Prioridad: permite cambiar la prioridad de un tique.
•
Vínculo: al ser una herramienta para la gestión de incidentes de seguridad y la
casuística de un incidente puede ser muy diversa, es posible que sea necesario
enlazar el tique de un incidente con otros objetos gestionados en SIRIOS – OTRS
para poder reflejar correctamente la situación.
La vinculación puede realizarse de 3 modos que reflejan de manera lógica la
relación jerárquica entre los objetos vinculados. La relación puede ser:
•
Normal: simplemente reflejamos que existe una relación entre ambos
objetos.
•
Hijo: queremos reflejar que existe una relación de dependencia del objeto
enlazado frente al tique
•
Padre: queremos reflejar que el tique depende en cierto modo del objeto
enlazado.
Los vínculos pueden representar relaciones entre iguales (se denominan en
SIRIOS – OTRS como normales) y de padre a hijo. Las situaciones en que se
pueden necesitar emplear un tipo u otro son variadas. Por ejemplo se relacionaría
con vínculos normales a tiques correspondientes a incidentes en distintos clientes
pero que son similares sino iguales (por ejemplo el ataque de un gusano / virus
puede suceder en varios clientes). También puede ser se relacionen con un vínculo
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
padre – hijo a un objeto que se haya almacenado en la base de datos de SIRIOS –
OTRS (una vulnerabilidad o un código malicioso almacenado como un “artefacto”)
y todos los incidentes que deriven de ese objeto. De este modo tendríamos una
relación de padre (el objeto vulnerabilidad o artefacto) y varios hijos (los tiques
correspondientes a los incidentes causados por ese objeto) y podríamos observar
rápidamente los efectos causados por un objeto en nuestra comunidad.
Las relaciones de vínculo se pueden establecer cuando estamos trabajando con un
tique. Haciendo clic en la acción “Vínculo” accedemos a un formulario de búsqueda
donde podremos buscar objetos con los que enlazar el tique. Por ejemplo podemos
buscar un artefacto:
La interfaz permite realizar una búsqueda en cualquiera de los elementos que son
posibles enlazar. Los objetos con los que se pueden enlazar un tique son:
•
Otros tiques
•
Vulnerabilidades almacenadas en la base de datos de SIRIOS – OTRS (ver
más adelante en este documento).
•
Artefactos almacenados en la base de datos de SIRIOS – OTRS.
De este modo podemos reflejar situaciones como por ejemplo, a partir de una
vulnerabilidad podemos identificar todos los tiques que tiene una relación con esta
vulnerabilidad.
•
Propietario: en esta acción podemos cambiar el propietario de un tique. Esta
propiedad es importante puesto que sólo siendo propietario del tique se pueden
realizar ciertas acciones.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
•
Responsable: en esta acción podemos cambiar la persona que ha sido designada
como responsable del tique.
•
Cliente: habitualmente el identificador del cliente siempre se dejará tal y como el
sistema SIRIOS – OTRS lo determina al recibir el correo inicial que creó el tique y
se establece que será la dirección de correo del usuario del portal que notificó el
incidente. Pero en caso necesario, es posible cambiarlo.
•
Nota: Esta acción será empleada por los agente para incorporar como notas todas
aquellas investigaciones o informaciones que se tengan que anexar al tique y que
no se correspondan directamente con un correo electrónico recibido desde el
“cliente”. Como nota se puede incorporar cualquier texto y además anexar un
archivo.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
•
Mezclar: en caso necesario, se pueden juntar tiques. En esta situación es
necesario que el usuario conozca el identificador del tique a unir y que sea
propietario de ambos tiques. En este caso, el tique fusionado cambia al estado
“Merged” (fusionado / mezclado) y en el tique que lo ha absorbido nos aparecerá
toda la información referente al tique absorbido así como una referencia en la zona
de resumen (zona 1 anteriormente descrita en este mismo apartado) a este hecho.
La situación en que se quiera o necesite mezclar 2 tiques puede ser variada, por
ejemplo, 2 notificaciones de incidentes que resultan ser el mismo problema y se
decide tratarlos como uno sólo.
•
Pendiente: En caso que el agente quiera tratar más tarde un tique y que por lo
tanto no aparezca en la cola, lo puede dejar como pendiente. Se tendrá que indicar
en que fecha quiere que el sistema SIRIOS – OTRS lo vuelva a mostrar.
•
Cerrar: se cierra el tique y se tiene que añadir una nota.
•
Incidente: esta acción no aparece en el listado de acción mostradas en el ejemplo
porque se trata de una acción que únicamente está disponible cuando el tique está
en la cola “Incident”.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Trabajando con incidentes
SIRIOS – OTRS dispone de un módulo para la gestión de los registro de los incidentes.
El módulo es accesible únicamente a los roles a los que se les haya dado permiso de
acceso, en cuyo caso dispondrán del icono de incidentes.
La pantalla que se muestra inicialmente es el resumen de la situación:
Esta información muestra las estadísticas totales y anuales de incidentes, así como
muestra un listado, por separado, de los tiques que tienen asociado un registro de
incidente y están bloqueados (algún agente los está tratando) o bien están desbloqueado
(ningún agente los está tratando).
Con el botón “
” existe la posibilidad de crear un nuevo registro de un incidente. Sin
embargo, no hay que olvidar que un incidente siempre irá relacionado con un tique. De
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
modo que si se crea de este modo el incidente, de manera automática se creará un tique
que recogerá toda la información que se vaya intercambiando el agente con el cliente.
Independientemente del modo en que se cree el registro del incidente, el interfaz para
recoger la información es el mismo. Se trata de un formulario que se rellena en 4 partes
correspondientes a las pestañas que mostramos a continuación.
Nota: El símbolo
indica que el apartado no está completo, y el símbolo
que el
apartado contiene la información que como mínimo se espera recoger.
Formulario de descripción general del incidente (“Specification”):
Datos de contacto tanto de la parte que reportó el incidente como de la persona, y
también la persona a la que hay que reportar la evolución del incidente. En muchos casos
las 3 serán la misma.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Asimismo, si en el momento, alguno de los 3 actores no está presente en la base de datos
de clientes de SIRIOS – OTRS, es posible crearlo en ese momento. El botón “New
Contact” no llevaría al interfaz de gestión de clientes para introducir la información del
nuevo cliente.
Detalle de la información relacionada con el incidente, tanto de en sí lo sucedido como de
la resolución.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Y finalmente, si se desea detallar aún más el incidente. SIRIOS – OTRS considera que un
incidente se puede descomponer en uno o más eventos distintos. La herramienta nos
ofrece unos formularios plantillas con los que podemos ir introduciendo la información
correspondiente a cada uno de los eventos en que se pueda descomponer el incidente.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Una vez cumplimentado los distintos formularios del incidente, aún si existiesen partes
con la marca
indicativa que quedan campos relevantes por cumplimentar, es posible
mostrar un informe sobre el incidente de cualquiera de estos modos:
•
Desde la pantalla de cumplimentación del incidente se hará clic en “ver”
•
En un tique que tenga asociado un incidente y ya se hubiera introducido alguna
información, bastará con hacer clic en la acción “incidente”
•
En la pantalla resumen de los incidentes, se hará clic en cualquiera de los enlaces
correspondientes a los identificadores de incidente.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
De entre las acciones disponible cabe destacar la acción “Exportar” que nos permitiría
crear un archivo en formato estándar IODEF 1 para la compartición de incidentes y avisos
de seguridad entre distintos CERTs.
También es interesante destacar que si el tique que contiene el incidente registrado ha
sido vinculado con algún objeto, esta información aparecerá en el detalle del incidente.
Asimismo mediante la acción “Imprimir” es posible generar un documento que tiene un
formato más adecuado para ser impreso.
1
http://www.cert.org/ietf/inch/inch.html
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Trabajando con vulnerabilidades
SIRIOS – OTRS en su módulo Vulnerabilidades permite mantener una base de datos de
vulnerabilidades.
Mostramos a continuación una búsqueda en la base de datos de vulnerabilidades.
La herramienta permitiría introducir nuevas vulnerabilidades desde su propio interfaz. Sin
embargo, si existen otras fuentes de información y se dispone de estas vulnerabilidades
en otras bases de datos es posible importarlas. La herramienta SIRIOS – OTRS en si
misma facilita un script ejecutable por línea de comandos para importar las
vulnerabilidades emitidas en proyecto OSVDB – OpenSource Vulnerability Database
(http://osvdb.org/).
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Trabajando con artefactos
SIRIOS – OTRS permite mantener una bases de datos de objetos de diversos tipos que
pueden resultar de interés a un CERT en la realización de sus tareas. Estos objetos
pueden tratarse de:
•
Binarios: ejecutables como por ejemplo de un virus o un ejecutable que explotará
una vulnerabilidad con intenciones maliciosas, un código de un gusano, etc.
•
Código fuente para la demostración de algún aspecto técnico (no tiene porque
tratarse de una vulnerabilidad)
•
Código fuente o ejecutable de un “Exploit” de demostración de una vulnerabilidad
(lo que se suele conocer como una “prueba de concepto”)
•
“Exploit” de una vulnerabilidad que puede ser o no malicioso.
•
Un extracto de un fichero de log
•
Otro artefacto no clasificable en las categorías anteriores.
Las acciones se reducen a realizar una búsqueda que nos mostraría en un listado los
artefactos que cumplen con nuestros criterios de búsqueda:
O un formulario para “subir” al servidor el objeto:
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve
Cuando se visualiza un artefacto es posible emplear la acción “Vínculo” para enlazarlo
con otro objeto (artefacto, tique o vulnerabilidad)
La información de los distintos tipos de enlaces se mostrará en la pantalla del detalle del
artefacto.
De este modo mantendremos la información de la relación entre artefactos y tiques e
incidentes en que el artefacto ha estado relacionado.
Av. Andrés Bello. Edif. BFC. Piso 13. VenCERT. Caracas. Venezuela.
Tlf: +58 212 5785674 – Fax: +58 212 212 5645993
http://www.suscerte.gob.ve – https://www.vencert.gob.ve