CSIRT Request Tracker Installation Guide

Sunday, September 28, 2014 Posted by Corey Harrell
In this post I'm releasing an installation guide to build a custom ticketing system to track and document security incidents. The guide contains nothing groundbreaking; just instructions on how to install and configure Request Tracker in CentOS with a PostgreSQL database and Apache web server. A significant portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work I compiled from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide (some instructions were copied and pasted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources). The guide is released as is and my intention is not to be someone's technical support. I've seen numerous times people asking what ticketing systems do people use to track security incidents and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive is very limited. I'm releasing this for those interested in incident response (IR) ticketing systems so at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option to reference.

Why Request Tracker and Not Request Tracker for Incident Response


Request Tracker (RT) is an open source tracking system that organizations leverage for a range of uses. As written on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RT website, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uses include: "bug tracking, help desk ticketing, customer service, workflow processes, change management, network operations, and youth counseling." By design RT is very customizable making it an awesome choice as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform for an IR ticketing system.

I know a common question will be why did I choose to use Request Tracker and not Request Tracker for Incident Response (RTIR). RTIR is after all a purposely built ticketing system for incident response. As I was exploring ticketing systems for incident response I spoke to two different people whose IR teams leveraged Request Tracker for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ticketing systems. I asked both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same question and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y both had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same response. RTIR is not updated as frequently as RT so going with RT enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to use newer functionality. After looking into both RT and RTIR I agreed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. However, my decision was not solely based on frequent updates. RT allowed me to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow I wanted instead of being forced to use someone's else workflow in RTIR. My decision to use RT was for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more frequent updates and ability to implement my own workflow.

CSIRT Request Tracker Workflow


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response workflow implemented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following subsections describes each area.



Incident Reported



One of my requirements for any ticketing system was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to automate documentation and communication amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Security Incident Response Team (CSIRT) members. This is an area where RT excels and it does so using email. The Incident Reported area is where a security event is reported to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT. The report can come in through email and it will be automatically processed. The report can also be manual (i.e. by telephone) and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be converted into an email or typed directly into RT.

The ticketing system can be used even if email is not an option. RT has a nice web interface for managing and updating tickets.

Queues



The Queues area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported security event ends up. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is only a General queue but RT supports having numerous queues. CSIRT members monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queue and any new tickets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take ownership of it. The ticket's status changes from new to triage once a member claims it.

Triage Activity



The Triage Activity area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported security event is validated and escalated. The first decision made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT member is determining if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT needs to be activated. Regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT is activated or not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported event is triaged to determine if it meets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement to be declared an incident. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported event doesn't meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security incident requirements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT member who owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket completes triaging it, resolves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, and documents any IR metrics. Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to closing. If reported event does meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements to be declared a security incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to incident.

Incident Activity



The Incident Activity area is where all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activities related to responding to, containing, and responding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security incident occur. All CSIRT members involved document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket. The ticketing system sends out emails for every update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole CSIRT is aware of what is occurring and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r members are doing. Automating communication makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response more efficient since time is not wasted holding unnecessary meetings. The ticket's status changes to closing once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is resolved.

Closing Activity



The Closing Activity area is for quality assurance and all tickets are forced though this area prior to being resolved. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT lead reviews each ticket to verify all work has been completed and all metrics captured. Capturing metrics is critical for internal CSIRTs since it's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best ways to show value to management. The CSIRT lead also identifies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a need to implement lessons learned or security monitoring improvements. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket is resolved. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to post incident status.

Post Incident Activity



The Post Incident Activity area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned and security monitoring improvements are made. The work is appended to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same incident ticket to make easier to document and refer back to in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post incident work is completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket is finally resolved.

 

CSIRT Request Tracker Lifecycles


RT implements a workflow using something called a lifecycle. The lifecycle outlines ticket statuses and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir behavior. Specifically, what a current status is allowed to be changed to. The diagram below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle that implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow I described above. As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new and triage statuses have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow but once a ticket is changed to incident it is forced though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining workflow.


CSIRT Request Tracker Installation Guide


As I mentioned previously, this guide is released as is. I did test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation procedure numerous times and believe I captured everything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation. However, one item I didn't fully test is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system since I didn't have a working email gateway for testing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

This link points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guides download location. The two guides are pretty much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same except one is to use fetchmail to retrieve email while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses sendmail to retrieve email. The latter makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system into an email gateway. Due to this, my preference is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fetchmail route since it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easier path.
Labels: ,
  1. Thank you for sharing your experience with RT. It's always interesting to see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people's workflow and use of tools.

Post a Comment