Journey Into Incident Response

In this post I'm releasing an installation guide to build a custom ticketing system to track and document security incidents. The guide contains nothing groundbreaking; just instructions on how to install and configure Request Tracker in CentOS with a PostgreSQL database and Apache web server. A significant portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work I compiled from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who are referenced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide (some instructions were copied and pasted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sources). The guide is released as is and my intention is not to be someone's technical support. I've seen numerous times people asking what ticketing systems do people use to track security incidents and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive is very limited. I'm releasing this for those interested in incident response (IR) ticketing systems so at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option to reference.

Why Request Tracker and Not Request Tracker for Incident Response

Request Tracker (RT) is an open source tracking system that organizations leverage for a range of uses. As written on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RT website, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uses include: "bug tracking, help desk ticketing, customer service, workflow processes, change management, network operations, and youth counseling." By design RT is very customizable making it an awesome choice as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform for an IR ticketing system.

I know a common question will be why did I choose to use Request Tracker and not Request Tracker for Incident Response (RTIR). RTIR is after all a purposely built ticketing system for incident response. As I was exploring ticketing systems for incident response I spoke to two different people whose IR teams leveraged Request Tracker for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ticketing systems. I asked both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same question and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y both had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same response. RTIR is not updated as frequently as RT so going with RT enables cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to use newer functionality. After looking into both RT and RTIR I agreed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. However, my decision was not solely based on frequent updates. RT allowed me to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow I wanted instead of being forced to use someone's else workflow in RTIR. My decision to use RT was for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more frequent updates and ability to implement my own workflow.

CSIRT Request Tracker Workflow

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response workflow implemented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following subsections describes each area.

Incident Reported

One of my requirements for any ticketing system was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to automate documentation and communication amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Security Incident Response Team (CSIRT) members. This is an area where RT excels and it does so using email. The Incident Reported area is where a security event is reported to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT. The report can come in through email and it will be automatically processed. The report can also be manual (i.e. by telephone) and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be converted into an email or typed directly into RT.

The ticketing system can be used even if email is not an option. RT has a nice web interface for managing and updating tickets.

Queues

The Queues area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported security event ends up. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is only a General queue but RT supports having numerous queues. CSIRT members monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queue and any new tickets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take ownership of it. The ticket's status changes from new to triage once a member claims it.

Triage Activity

The Triage Activity area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported security event is validated and escalated. The first decision made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT member is determining if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT needs to be activated. Regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT is activated or not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported event is triaged to determine if it meets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement to be declared an incident. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported event doesn't meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security incident requirements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT member who owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket completes triaging it, resolves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, and documents any IR metrics. Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to closing. If reported event does meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements to be declared a security incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to incident.

Incident Activity

The Incident Activity area is where all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activities related to responding to, containing, and responding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security incident occur. All CSIRT members involved document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket. The ticketing system sends out emails for every update to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole CSIRT is aware of what is occurring and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r members are doing. Automating communication makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response more efficient since time is not wasted holding unnecessary meetings. The ticket's status changes to closing once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is resolved.

Closing Activity

The Closing Activity area is for quality assurance and all tickets are forced though this area prior to being resolved. This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT lead reviews each ticket to verify all work has been completed and all metrics captured. Capturing metrics is critical for internal CSIRTs since it's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best ways to show value to management. The CSIRT lead also identifies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a need to implement lessons learned or security monitoring improvements. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket is resolved. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket's status is changed to post incident status.

Post Incident Activity

The Post Incident Activity area is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned and security monitoring improvements are made. The work is appended to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same incident ticket to make easier to document and refer back to in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post incident work is completed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket is finally resolved.

 

CSIRT Request Tracker Lifecycles

RT implements a workflow using something called a lifecycle. The lifecycle outlines ticket statuses and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir behavior. Specifically, what a current status is allowed to be changed to. The diagram below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle that implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow I described above. As can be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new and triage statuses have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow but once a ticket is changed to incident it is forced though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining workflow.

CSIRT Request Tracker Installation Guide

As I mentioned previously, this guide is released as is. I did test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation procedure numerous times and believe I captured everything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation. However, one item I didn't fully test is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system since I didn't have a working email gateway for testing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

This link points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guides download location. The two guides are pretty much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same except one is to use fetchmail to retrieve email while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses sendmail to retrieve email. The latter makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticketing system into an email gateway. Due to this, my preference is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fetchmail route since it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easier path.

Building out an organization's security detection capability can be a daunting task. The complexity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, number of applications/servers/clients, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer number of potential threats, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unlimited attack avenues those threats can use are only a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges. To tackle this daunting task cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different ways to build out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection capability. One of those approaches is to do so leveraging use cases. Use cases are "a logical, actionable and reportable component of an Event Management system." The event management system I kept in mind for this mind map is a SIEM but it may apply to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r types of systems. InfoSec Nirvana's post SIEM Use Cases – What you need to know? and Anton Chuvakin's post Detailed SIEM Use Case Example demonstrate how to build a use case and what it should entail. My previous post Linkz for SIEM links to a few more and this paper does as well. In this post I'm walking through how one can take a documented use case and translate that into something actionable to improve an organization's security detection capability.

SIEM Use Case Implementation Mind Map

The process to translate a use case into something actionable can be broken down into four distinct areas: Log Exploration, Custom Rules, Default Rules, and Detect Better Respond Faster. Each area has different activities to complete but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are at least minimum activities to accomplish. This process is illustrated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind map below:

Logs Exploration

Identify Logs

The first activity is to take a detailed look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case and to determine all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log sources needed to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case. This may had been done when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case was documented but it is still a good activity to repeat to ensure all logs are identified. This involves looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk takes through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network including applications and devices, and determining which device/application contains logs of interest. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case is to detect web server attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application itself. The devices cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats pass through may include routers, switches, firewalls, IDS systems, proxy servers, web application, and web service. All of which may contain logs of interest.

Identify Required Log Events

After  cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs have been identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next activity is to identify what events in those logs are needed. A log can contain a range of events recording numerous items but only some are specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case at hand. This involves doing research on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device/application and possibly setting up a testing environment. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case is to detect lateral movement using remote desktop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log source would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows security event logs (contains aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication events) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events of interest are those event ids specifically for remote desktop usage.

Confirm Logging Configuration

The actual devices/applications' logging configuration are reviewed to ensure it records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events needed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case. Keep in mind, turning on auditing or changing configurations impacts performance so this needs to be tested prior to rolling it out production wide. If performance is significantly impacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n find an alternative method or a happy medium everyone is agreeable to.

Bring In The Logs

Now it is time to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required configuration changes to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system. How this is done depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs are coming from? At times logs are pushed to event management system such as syslogs while at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are pulled into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system such Windows event logs through WMI.

Custom Rules

Explore Logs

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log(s) are flowing into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system it's time to start exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs. Look through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collected logs to not only see what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events are structured but to see what in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log(s) can be used in a detection rule.

Create Custom Rules

Most event management systems come with default rules and my guess is people start with those. However, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better option is to first create custom rule(s) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case. The custom rule(s) can incorporate all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research completed, information from discussions with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, and experience and indicators from previous responses to security incidents. The custom rule(s) are more tailored to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization and have greater success in detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules/signatures. What custom rule to create is solely dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case? Make sure to leverage all information available and ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule will hit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices/appliances' log(s). After creation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule is implemented.

Monitor, Improve, and Tune Custom Rules

Monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implemented custom rule(s) to verify if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired results. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule doesn't hit on any correlated events cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule by simulating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity to make it fire. The custom rule(s) need to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact desired results; if it doesn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n identify how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules. After rule(s) are updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor again to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired results. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule(s) need to be tuned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment to reduce false positives. At times rule(s) may fire on normal behavior so adjusting rule(s) to not fire on future activity minimizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise.

Establish and Document Triage Process

Building out an organization's security detection capability results in activity being detected; thus a response is needed to what is detected. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom rule(s), establish a triage process to outline how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert needs to be evaluated to determine: if it's valid and how critical it is. First, evaluate any existing triage processes to see if any apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se new rules. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a applicable triage process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n create one. The goal is to minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of different triage processes while ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is sufficient triage processes to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules.

In my opinion establishing triage processes is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second most critical step (detection rules are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first.) Triage is what determines what is accepted as "good" behavior, what needs to be addressed, and what needs to be escalated. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom rule(s) are implemented take some time reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule(s) that fired. Evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity that triggered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule and try out different triage techniques. This is repeated until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a repeatable triage process for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom rule(s). Continue testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeatable triage process to make it more efficient and faster. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positives and determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a way to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m sooner in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process? Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques that require more in-depth analysis and move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process? The triage process walks a fine line between being as fast as possible and using resources as efficient as possible. Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more time spent on one alarm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time is spent on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time on one alarm increases malicious activity being missed.

The final triage process is documented so it is repeatable by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire team.

Train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Team

The final activity is to train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security detection team on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom rule(s), how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process to use when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y alert on activity. The team are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones who manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case that have been put in place allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder activities to be completed.

Default Rules

Identify Default Rules for Use Case

At this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system are reviewed. The only default rules to be concerned about are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones triggering on activity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case of interest. Identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules and review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir properties to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work.

Explore Correlated Default Rules

The event management system may of had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules enabled but did not alert on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules may need to be enabled. However, ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triggered rules do not generate alerts. There is no need to distract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security detection team with alerts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will just ignore for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being. Run queries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system to identify any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules who triggered on activity. Explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triggered rules to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity is and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity matches what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule is looking for. There may be numerous rules which don't trigger on anything; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are addressed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y occur.

Tune Default Rules

Explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triggered rules to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity is, how it matches what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule is looking for, and how many generate false positives. Identifying false positives may require triaging a few. Default rules can be very noisy and need to be tuned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noisy rules and figure out what can be adjusted to reduce false positives.  Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adjustments and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positives are reduced. If not, continue making adjustments and monitoring to eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positives. Some default rules are just too noisy and no amount of tuning will change it; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules are disabled.

Keep in mind, when tuning rules ensure all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of interest are taken into account. At times one data source may indicate something happened while anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity was blocked.

Establish and Document Triage Process

Establishing and documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process works cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as it did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom rules section. Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more time spent on one alarm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time is spent on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time on one alarm increases malicious activity being missed. First, evaluate any existing triage processes to see if any apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se default rules. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a applicable triage process cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n create one. The goal is to minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of different triage processes while ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is sufficient triage processes to handle every alert. The final triage process is documented so it is repeatable by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire team.

Train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Team

The final activity is to train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security detection team on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default rules, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process to use when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y alert on activity. The team are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones who manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case that have been put in place allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder activities to be completed.

Detect Better Respond Faster

Measure Detection in Depth

Use cases range from having a single rule to numerous rules. Monitor and evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case. There are very little models or methods to accomplish this task. Pick a model/method to use or develop one to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's needs.

The few thought processes I've seen on measuring detection in depth are those by David Bianco. His Pyramid of Pain model is a way to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules. The higher in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better quality it is. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r item to help with determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of rules is a chart provided by Anton Chuvakin in his post SIEM and Badness Detection. Finally, in time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules that are more accurate at detecting activity will start to stand out from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high quality rules for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case in question.

The second part of measuring detection in depth is tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules coverage for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case. David's bed of nails concept where he ties togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid of pain with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain model for detection. David tweeted links to a talk where he discusses this and I'm including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in this post. The video to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain: Intel-Driven Detection/Response to Increase Adversary's Cost is located here while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides are located here.

Continuously Tune Rules

Over time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's network, servers, clients and applications change. These changes will impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system and may produce false positives. Tuning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment is an ongoing process so continue to make adjustment to rules as needed.

Continuously Improve & Add Rules Based on Response

Rules constantly evolve with existing ones getting updates and new ones implemented; all in an effort to continuously improve an organization's security detection capability. There are two sources of information to use for improvement and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things learned from triaging and responding to alerts. After each validated alert and security incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question to ask is: what can be improved upon to make detection better. Was activity missed, can rules be more focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity, is a new rule required, etc.. Each alert is an opportunity for improvement and each day strive to be better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous. In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best source of intelligence to improve one's detection capabilities is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information gained through response.

Continuously Improve & Add Rules Based on Intel

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r source of information to use for improvement is intelligence produced by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. This includes a range of items from papers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest techniques used by threats to blog posts about what someone is seeing to information shared by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information won't apply but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that do need to be implemented into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is to strive to be better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous day.

Continuously Improve Triage

Striving to be better each day is not limited to detection only. The mantra needs to be: Detect Better Respond Faster.  After each validated alert and security incident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question to ask is: what can be improved upon to make response faster. Can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage process be more efficient, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 triage tools adequate, what can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process faster, etc.. Each time a triage process is completed it's a learning opportunity for improvement.  Remember, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more time spent on one alarm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time is spent on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less time on one alarm increases malicious activity being missed. Walk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fine line between speed and efficiency.

Ensure Logging Configuration

Over time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's network, servers, clients and applications configurations change. Some implemented rules in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use case are dependent upon those events being present. A simple configuration change can render a rule ineffective thus impacting an organization's security detection capability. It's imperative to periodically review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlated events in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event management system to see if anything has drastically changed. This is especially true for any custom rules implemented.

SIEM Use Case Implementation Mind Map Wrap-up

Use cases are an effective approach to build out an organization's security detection capability. I walked through how one can take a documented use case and translate that into something actionable to improve an organization's security detection capability. The activities are not all inclusive but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are a decent set of minimum activities to accomplish.