automated incident no fica on helper
play

Automated Incident No/fica/on Helper Javier Berciano - PowerPoint PPT Presentation

Jun 14, 2023 •164 likes •503 views

Automated Incident No/fica/on Helper Javier Berciano (@jberciano) INTECO-CERT (hDp://cert.inteco.es) INTECO & INTECO-CERT Automated Incident No6fica6on Helper

  2. Automated ¡Incident ¡No/fica/on ¡ Helper ¡ Javier ¡Berciano ¡(@jberciano) ¡ INTECO-­‑CERT ¡(hDp://cert.inteco.es) ¡

  3. INTECO ¡& ¡INTECO-­‑CERT ¡

  4. Automated ¡ Incident ¡ No6fica6on ¡ Helper ¡

  7. Automate ¡ no6fica6ons ¡ during ¡ ¡incident ¡ handling ¡process. ¡

  8. What ¡we ¡have ¡ yet? ¡

  9. § Evidence ¡extrac6on ¡tools, ¡op6mized ¡for ¡big ¡ amount ¡of ¡informa6on. ¡ § GenFilesIR: ¡tool ¡to ¡generate ¡splited ¡files ¡for ¡ no6fica6ons. ¡ § AuRTIR: ¡tool ¡to ¡automate ¡some ¡incident ¡ management ¡tasks ¡using ¡RTIR ¡webAPI. ¡

  10. Main ¡problem: ¡ ¡ Get ¡Abuse ¡contact ¡ in ¡an ¡efficient ¡ manner ¡

  11. What ¡we ¡ need? ¡

  12. Contact ¡informa6on ¡ Informa6on ¡from ¡IP ¡involved ¡in ¡incidents ¡ ¡ Ø Abuse ¡contact ¡from ¡RIRs. ¡ Ø Private ¡contacts ¡from ¡netblocks ¡or ¡AS. ¡ Ø Na6onal ¡CERT ¡point ¡of ¡contact. ¡ Automated ¡Incident ¡ How? ¡ No/fica/on ¡Helper ¡tool ¡

  13. Powered ¡by ¡

  14. Request ¡flows ¡ Lookup ¡contact ¡ New ¡request ¡ RIR ¡lookup ¡ 1 ¡thread ¡per ¡100 ¡ Ips/RIR ¡ DB ¡contact ¡ GeoIP ¡lookup ¡ ASN ¡lookup ¡ lookup ¡ Return ¡data ¡

  15. ARIN ¡contact ¡ extrac6on ¡flow ¡ • Obtain ¡IP ¡data ¡(/rest/ip/$IP.xml) ¡ o Check ¡comments ¡for ¡abuse ¡contact ¡informa6on ¡ o If ¡customer ¡data ¡is ¡filled ¡(/rest/customer/ $CUSTOMER_HANDLE) ¡check ¡it ¡for ¡contact ¡informa6on. ¡ • Check ¡POCs ¡(Points ¡of ¡Contact) ¡for ¡organiza6on ¡(/rest/org/ $ORG_HANDLE/pocs/) ¡that ¡owns ¡the ¡IP. ¡ • Check ¡POCs ¡for ¡network ¡(/rest/net/$NET_HANDLE/pocs) ¡that ¡ owns ¡the ¡IP. ¡ ¡ ¡ POC ¡func6on ¡preference: ¡ABUSE ¡> ¡NOC ¡> ¡TECH ¡> ¡ADMIN ¡

  16. RIPE ¡NCC ¡contact ¡ extrac6on ¡flow ¡ RIPE ¡NCC ¡RESTful ¡service ¡is ¡used ¡to ¡obtain ¡data ¡from ¡ RIPE ¡& ¡APNIC. ¡ • Obtain ¡IP ¡data ¡(/whois/search?source=$RIR&query-­‑string=$IP) ¡ • If ¡contact ¡data ¡is ¡being ¡omiaed, ¡request ¡contact ¡data ¡using ¡ contact ¡handles. ¡ ¡ • Check ¡if ¡it ¡is ¡assigned ¡to ¡JPNIC. ¡If ¡it’s ¡true ¡request ¡contact ¡data ¡to ¡ hap://whois.nic.ad.jp/cgi-­‑bin/whois_gw ¡ • Korea ¡has ¡another ¡similar ¡service ¡ ¡ Contact ¡preference: ¡irt-­‑nfy ¡> ¡mnt-­‑irt ¡> ¡no6fy ¡> ¡abuse-­‑mailbox ¡> ¡ tech-­‑c ¡> ¡admin-­‑c ¡> ¡generic ¡email ¡field ¡> ¡remarks ¡> ¡trouble ¡ ¡

  17. LACNIC ¡contact ¡ extrac6on ¡flow ¡ • LACNIC ¡gives ¡us ¡access ¡to ¡bulk ¡whois ¡only ¡with ¡netnums ¡and ¡ contact ¡handle ¡ à ¡ agreement ¡required . ¡ ¡ • Parse ¡LACNIC ¡bulk ¡whois ¡data ¡to ¡extract ¡inetnums ¡and ¡their ¡ associated ¡contact ¡handle. ¡ • Extract ¡contact ¡data ¡using ¡tradi6onal ¡whois, ¡several ¡IP ¡ addresses ¡and ¡a ¡lot ¡of ¡pa6ence. ¡ • Store ¡contacts ¡in ¡MySQL ¡database. ¡ Contact ¡preference: ¡abuse ¡> ¡tech ¡> ¡owner ¡ ¡

  18. AfriNIC ¡contact ¡ extrac6on ¡flow ¡ • AfriNIC ¡gives ¡us ¡access ¡to ¡bulk ¡whois ¡only ¡with ¡netnums ¡and ¡ contact ¡handle ¡ à ¡ agreement ¡required . ¡ ¡ S6ll ¡in ¡development, ¡agreement ¡signed ¡two ¡weeks ¡ago. ¡ It ¡will ¡be ¡implement ¡like ¡LACNIC ¡case. ¡ • Parse ¡AfriNIC ¡bulk ¡whois ¡data ¡to ¡extract ¡inetnums ¡and ¡their ¡ associated ¡contact ¡handle. ¡ • Extract ¡contact ¡data ¡using ¡tradi6onal ¡whois, ¡several ¡IP ¡ addresses ¡and ¡a ¡lot ¡of ¡pa6ence. ¡ • Store ¡contacts ¡in ¡MySQL ¡database. ¡ Contact ¡preference: ¡abuse ¡> ¡tech ¡> ¡owner ¡

  19. Contacts ¡database ¡ MySQL ¡database ¡also ¡has ¡contacts ¡manually ¡gathered ¡from: ¡ • Netblocks ¡(public ¡or ¡private ¡contacts) ¡ • AS ¡(public ¡or ¡private ¡contacts) ¡ • Na6onal ¡CERTs ¡

  20. Input ¡ Single ¡mode: ¡whois ¡query ¡for ¡one ¡ip ¡address ¡ ¡ whois ¡–h ¡ainh.cert.inteco.es ¡193.53.165.3 ¡ Bulk ¡mode: ¡ • One ¡IP ¡per ¡line ¡ • Delimeters: ¡begin ¡… ¡end ¡ • Using ¡netcat ¡tool ¡

  21. Input ¡ $ ¡cat ¡file ¡ begin ¡ verbose ¡ 69.60.114.138 ¡ 91.121.6.93 ¡ 91.206.30.201 ¡ ¡ ¡ ¡ 77.79.13.17 ¡ ¡ ¡ ¡ ¡ ¡ 91.230.194.54 ¡ ¡ ¡ ¡ 194.54.80.68 ¡ ¡ ¡ ¡ ¡ 178.238.238.59 ¡ ¡ ¡ 195.53.165.3 ¡ ¡ ¡ ¡ ¡ ¡ 124.248.207.207 ¡ ¡ 190.123.43.189 ¡ ¡ ¡ 193.188.46.32 ¡ ¡ 193.53.165.3 ¡ end ¡ ¡ $ ¡netcat ¡ainh.cert.inteco.es ¡43 ¡< ¡file ¡

  22. Output ¡format ¡ Output ¡data ¡provided ¡by ¡tool ¡is ¡ • AS ¡Number ¡ • IP ¡address ¡ • BGP ¡Prefix ¡ • Country ¡Code ¡ • RIR ¡ • Abuse ¡Contacts ¡ • Na6onal ¡CERT ¡ • DB ¡Public ¡contacts ¡ • Private ¡contacts ¡ • RIR-­‑extracted ¡ • AS ¡Name ¡

  23. Output ¡format ¡ Abuse ¡contacts ¡field: ¡ • “n:” ¡designates ¡na6onal ¡CSIRT ¡contact ¡in ¡database. ¡ • “a:” ¡ASN ¡or ¡netblock ¡public ¡contact ¡in ¡database. ¡ • “p:” ¡private ¡contact ¡for ¡AS ¡or ¡netblock ¡in ¡database. ¡ • “r:” ¡abuse ¡contacts ¡collected ¡from ¡RIR. ¡ Un6l ¡know ¡only ¡whois ¡service ¡is ¡working ¡

Recommend

AUTOMATED VALIDATION OF CLINICAL INCIDENT TYPES J.GUPTA, I.KORINSKA, J.PATRICK SCHOOL OF

AUTOMATED VALIDATION OF CLINICAL INCIDENT TYPES J.GUPTA, I.KORINSKA, J.PATRICK SCHOOL OF

AUTOMATED VALIDATION OF CLINICAL INCIDENT TYPES J.GUPTA, I.KORINSKA, J.PATRICK SCHOOL OF INFORMATION TECHNOLOGY SYDNEY UNIVERSITY HEALTH INFORMATICS CONFERENCE, BRISBANE 5 AUG 2015 MOTIVATIONS Improve patient safety and quality of

128 views • 11 slides
ISO Cer(fica(on Helping Inspire to do things be8er What is

ISO Cer(fica(on Helping Inspire to do things be8er What is

ISO Cer(fica(on Helping Inspire to do things be8er What is ISO Cer(fica(on? An interna)onal Quality standard Globally over 1 million cer)fied companies

448 views • 15 slides
Family Partnership Model Family Partnership Model Partnership Helper Skills Helper Qualities

Family Partnership Model Family Partnership Model Partnership Helper Skills Helper Qualities

Family Partnership Model Family Partnership Model Partnership Helper Skills Helper Qualities Helping Outcomes Process Characteristics of Parents and Children Service &amp; Community Context Construction Processes Intended outcomes of

256 views • 10 slides
Introduc:on protocol ? Iden:fica:on based on payload Payload

Introduc:on protocol ? Iden:fica:on based on payload Payload

Protocol Iden:fica:on Elie Bursztein eb@lsv.ens-cachan.fr WISTP 2008 Probabilis:c Iden:fica:on for Hard to classify Protocol Elie Bursztein PhD Student

729 views • 33 slides
Traffic Incident Management Research with Maryland Connected &amp; Automated Vehicles Working

Traffic Incident Management Research with Maryland Connected &amp; Automated Vehicles Working

SM Source: FHWA. Source: FHWA. Source: FHWA. Source: FHWA. Traffic Incident Management Research with Maryland Connected &amp; Automated Vehicles Working Group August 11, 2020 SM What is the CARMA Program? The FHWAs initiative focused

460 views • 14 slides
Incident Action Planning in the EOC GGC NHC 2018 GGC NHC 2018 Incident Action Planning EOC

Incident Action Planning in the EOC GGC NHC 2018 GGC NHC 2018 Incident Action Planning EOC

Incident Action Planning in the EOC GGC NHC 2018 GGC NHC 2018 Incident Action Planning EOC plans are typically more strategic than field IAPs A planning process helps synchronize operations and ensure they support incident objectives

510 views • 34 slides
Grating Incident resulting in LTI Agenda Background and Medical Condition Incident

Grating Incident resulting in LTI Agenda Background and Medical Condition Incident

Grating Incident resulting in LTI Agenda Background and Medical Condition Incident Description Immediate Causes and Latent Failures Swiss Cheese Model Key HSSE Themes from the Grating Incident Weak Signals from

564 views • 14 slides
Incident Response &amp; Evidence Incident Response &amp; Evidence Incident Response &amp;

Incident Response &amp; Evidence Incident Response &amp; Evidence Incident Response &amp;

Incident Response &amp; Evidence Incident Response &amp; Evidence Incident Response &amp; Evidence Incident Response &amp; Evidence Management Management Management Management CIPS Brandon Chapter November 28 2002 Dr. Marc Rogers PhD,

629 views • 27 slides
Iden&amp;fica&amp;on of metabolic changes in demen&amp;a pa&amp;ents

Iden&amp;fica&amp;on of metabolic changes in demen&amp;a pa&amp;ents

Iden&amp;fica&amp;on of metabolic changes in demen&amp;a pa&amp;ents using FTIR Jssica Lopes 1 , Marta Correia 2 , Rafaela Silva 1 , Ilka Mar&amp;ns Rosa 3 , Ana

291 views • 14 slides
Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization

Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization

V olunteer C ommunications N etwork (V-C-N) Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization Radio Nets for ZR Incidents - A V-C-N.org Academy Course - 2012-04.08-0237 264: Incident Mobilization

773 views • 50 slides
Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization

Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization

V olunteer C ommunications N etwork (V-C-N) Incident Mobilization Incident Mobilization (R- -T T- -S) Nets S) Nets (R Mobilization Radio Nets for ZR Incidents - A V-C-N.org Academy Course - 2012-04.08-0237 264: Incident Mobilization

753 views • 20 slides
LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint

LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint

LAG-3: Iden,fica,on &amp; Valida,on Of Next Genera,on Checkpoint Pathways ICI Europe Conference Frdric Triebel, CSO/CMO November 18, 2015

368 views • 23 slides
GE Incident Response Insight Awareness Advantage Sean Mason Director, Incident Response

GE Incident Response Insight Awareness Advantage Sean Mason Director, Incident Response

GE Incident Response Insight Awareness Advantage Sean Mason Director, Incident Response Investing in new talent &amp; capabilities Incident response Cyber intelligence Digital forensics Security architecture Identity management

609 views • 42 slides
Automated Reasoning: Some Successes and New Challenges Predrag Jani ci c

Automated Reasoning: Some Successes and New Challenges Predrag Jani ci c

What is this talk about? What is automated reasoning? Automated reasoning in propositional logic Automated reasoning in first-order logic Automated reasoning in higher-order logic Automated reasoning in geometry Conclusions Automated

806 views • 52 slides
BC Oil and Gas Commission Incident Reporting 1 Incident Reporting: Systems and Processes

BC Oil and Gas Commission Incident Reporting 1 Incident Reporting: Systems and Processes

BC Oil and Gas Commission Incident Reporting 1 Incident Reporting: Systems and Processes Regulatory Framework In British Columbia, oil and gas incidents are managed in accordance with the following legislation and regulations: 1. The Oil and

277 views • 12 slides
Collabora'ng for the iden'fica'on and dissemina'on of good

Collabora'ng for the iden'fica'on and dissemina'on of good

Session: Working in Partnership for Cancer UICC World Cancer Congress, 2012 Collabora'ng for the iden'fica'on and dissemina'on of good prac'ce in

218 views • 17 slides
Iden%fica%onofNarra%vePeaksin Clips:TextFeaturesPerformBest

Iden%fica%onofNarra%vePeaksin Clips:TextFeaturesPerformBest

Iden%fica%onofNarra%vePeaksin Clips:TextFeaturesPerformBest JoepJ.M.Kierkels,MohammadSoleymani, ThierryPun ComputerVisionandMul2mediaLaboratory(h8p:// cvml.unige.ch)

173 views • 15 slides
INCIDENT INVESTIGATION ANALYSIS Nalicia Stevenson Addo Safety Manager, Cutrale What Is An

INCIDENT INVESTIGATION ANALYSIS Nalicia Stevenson Addo Safety Manager, Cutrale What Is An

INCIDENT INVESTIGATION ANALYSIS Nalicia Stevenson Addo Safety Manager, Cutrale What Is An Incident Major Reasons For Conducting Incident Investigations Incident Investigation AGENDA Procedures 5 W 1 H Problem Statement

418 views • 13 slides
ZR Incident Communications ZR Incident Communications Center (ICC) Specialist Center (ICC)

ZR Incident Communications ZR Incident Communications Center (ICC) Specialist Center (ICC)

Category Z R adio I ncident C ommand S ystem ZR Incident Communications ZR Incident Communications Center (ICC) Specialist Center (ICC) Specialist Introduction to the ZR2R Position - A V-C-N.org Academy Course - 2012-04.04-1002 223:

496 views • 14 slides
Incident Response: Goals of Incident Management Steps to Preparation Risk Assessment

Incident Response: Goals of Incident Management Steps to Preparation Risk Assessment

6/19/2015 Incidents Are Not Necessarily Emergencies Incident Laboratory Incidences and An event thats likely to have adverse consequences Emergency Response Programs Emergency Unanticipated circumstances resulting in

564 views • 5 slides
Incident Cause Analysis Method (ICAM) Report LDVs HEAD ON COLLISION POINTS OF DISCUSSION

Incident Cause Analysis Method (ICAM) Report LDVs HEAD ON COLLISION POINTS OF DISCUSSION

Incident Cause Analysis Method (ICAM) Report LDVs HEAD ON COLLISION POINTS OF DISCUSSION Incident information Incident description Incident Scene Sequence of events Failure analysis Root cause process flow Key

452 views • 12 slides
Parameter iden+fica+on with hybrid systems in a bounded-error

Parameter iden+fica+on with hybrid systems in a bounded-error

Parameter iden+fica+on with hybrid systems in a bounded-error framework Moussa MAIGA, Nacim RAMDANI, &amp; Louise TRAVE-MASSUYES Universit dOrlans,

938 views • 46 slides
Na#onal Food For#fica#on Assessment Survey in Tanzania, 2015

Na#onal Food For#fica#on Assessment Survey in Tanzania, 2015

Na#onal Food For#fica#on Assessment Survey in Tanzania, 2015 Overview and methods Sylvia Meku Manager of Social and Demographics Sta9s9cs Department

1.25k views • 75 slides
Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents

Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents

Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents Cornelia Caragea 1 , Jian Wu 2 , Kyle Williams 2 , Sujatha Das G. 1 , Madian Khabsa 3 , Pradeep

470 views • 25 slides

More recommend