| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | 4/27/2022 | START | 13:57 PST | BR3 University Log4J Incident | ||||||||||||||||||||||
2 | ||||||||||||||||||||||||||
3 | Resource | Command Staff (CS) | ||||||||||||||||||||||||
4 | Matt | IC = Incident Commander | ||||||||||||||||||||||||
5 | LNO = Liaison Officer | |||||||||||||||||||||||||
6 | Kevin | S = Scribe | ||||||||||||||||||||||||
7 | Agency Reps (A-Reps) & Technical Problem Solvers | |||||||||||||||||||||||||
8 | Taylor | SC = School Contact | ||||||||||||||||||||||||
9 | Sonic | SME = Subject Matter Expert | ||||||||||||||||||||||||
10 | Elapsed | |||||||||||||||||||||||||
11 | Key | Time | ||||||||||||||||||||||||
12 | Event # | (mm:ss) | From=>To | Key Event | ||||||||||||||||||||||
13 | Overview of event: Compromise detected at 13:57 PST. Central Authentication Server (CAS) is the primary authentication service for all customers and is compromised. Customers can't log in and can't perform any basic activities, such as registering for classes, looking at class schedules, making payments, etc. | |||||||||||||||||||||||||
14 | 1 | 00:00 | START: Log 4J Incident at BR3 Univ | |||||||||||||||||||||||
15 | 2 | 00:21 | IC=> All | Incident Bridge initiated @1402 | ||||||||||||||||||||||
16 | 3 | 00:30 | IC=> All | Assigning Command Staff (CS) positions | ||||||||||||||||||||||
17 | 4 | 00:33 | IC=> All | IC=Matt, LNO= | ||||||||||||||||||||||
18 | 5 | 00:38 | IC=> All | SC=Taylor, SME=Sonic | ||||||||||||||||||||||
19 | 6 | 00:50 | SC=>All | Log4J Attack, CAS, CIO upset | ||||||||||||||||||||||
20 | 7 | 00:55 | SC=>All | Key stakeholders (Administration, Faculty, IT, Security, Dean of Students) contacted. | ||||||||||||||||||||||
21 | 8 | 01:58 | IC=>SME | Can you pull Logs? Yes. BE back in 15 Minutes | ||||||||||||||||||||||
22 | 9 | 02:11 | IC=>LNO | Add Security network Log Analysis SME | ||||||||||||||||||||||
23 | 10 | Can Report #1 to Executive (LNO#1) using key events #1-9 | ||||||||||||||||||||||||
24 | 11 | 12:44 | LNO=>IC | Security Network SME Dev will join bridge | ||||||||||||||||||||||
25 | 12 | 12:45 | IC=>SME | Logs Avail? Yes | ||||||||||||||||||||||
26 | 13 | 12:57 | IC=>SME | Review logs & rejoin in 30min? Yes | ||||||||||||||||||||||
27 | 15 | 43:18 | IC=>LNO | Get Business Impact in 30 minutes | ||||||||||||||||||||||
28 | 16 | 43:48 | IC=>LNO | School impact? No backup service | ||||||||||||||||||||||
29 | 17 | 44:04 | LNO=>IC | Business Impact is Major. No secondary option | ||||||||||||||||||||||
30 | 18 | 44:10 | IC=>SME | Update to log review? 10 Minutes | ||||||||||||||||||||||
31 | 20 | 54:30 | SME=>IC | Taking system off line | ||||||||||||||||||||||
32 | 21 | 54:48 | IC=>SME | ETA to take server offline & patch | ||||||||||||||||||||||
33 | 22 | 55:00 | SME=>IC | 2 hours. Will back up CAS & forensics logs | ||||||||||||||||||||||
34 | 23 | 55:14 | IC=>SME | Take action report back in 2 hours | ||||||||||||||||||||||
35 | 25 | 2:05:25 | CIO=>IC | Executive swoop, CIO upset and wants answers | ||||||||||||||||||||||
36 | 26 | 2:05:50 | IC=>CIO | Move into different room w/LNO | ||||||||||||||||||||||
37 | 27 | 2:06:08 | LNO=>CIO | Send link to Breakout Room | ||||||||||||||||||||||
38 | 28 | 2:06:37 | LNO=>IC | Return after briefing w/CIO | ||||||||||||||||||||||
39 | 29 | 200 Word Written IMS briefing to SMEs (LNO#2) using key events #1-28 | ||||||||||||||||||||||||
40 | 30 | 2:32:18 | SME=>IC | Patch implemented, CAS & forensics logs retained. System tested, restored and all features are operational. | ||||||||||||||||||||||
41 | 31 | 2:33:02 | IC=>ALL | All CAS services are operational as of 1634 PST. Declaring this incident "Under Control". | ||||||||||||||||||||||
42 | 32 | 2:33:27 | IC=>SME | All SMEs continue to monitor your environment. Bridge open until all SMEs confirm their environments are stable under load. | ||||||||||||||||||||||
43 | 33 | 2:34:11 | IC=>LNO | Send Comms to all stakeholders | ||||||||||||||||||||||
44 | 34 | Report #3 Incident Resolved, CAN or IMS to Customers (CAN or IMS) (LNO#3) | ||||||||||||||||||||||||
45 | 35 | |||||||||||||||||||||||||
46 | 36 | |||||||||||||||||||||||||
47 | 38 | |||||||||||||||||||||||||
48 | 39 | |||||||||||||||||||||||||
49 | 40 | |||||||||||||||||||||||||
50 | 41 | |||||||||||||||||||||||||
51 | 42 | |||||||||||||||||||||||||
52 | 43 | |||||||||||||||||||||||||
53 | 44 | |||||||||||||||||||||||||
54 | 45 | |||||||||||||||||||||||||
55 | 46 | |||||||||||||||||||||||||
56 | 47 | |||||||||||||||||||||||||
57 | 48 | |||||||||||||||||||||||||
58 | 49 | |||||||||||||||||||||||||
59 | 50 | |||||||||||||||||||||||||
60 | 51 | |||||||||||||||||||||||||
61 | 52 | |||||||||||||||||||||||||
62 | 53 | |||||||||||||||||||||||||
63 | 54 | |||||||||||||||||||||||||
64 | 55 | |||||||||||||||||||||||||
65 | 56 | |||||||||||||||||||||||||
66 | 57 | |||||||||||||||||||||||||
67 | 58 | |||||||||||||||||||||||||
68 | 59 | |||||||||||||||||||||||||
69 | 60 | |||||||||||||||||||||||||
70 | 61 | |||||||||||||||||||||||||
71 | 62 | |||||||||||||||||||||||||
72 | 63 | |||||||||||||||||||||||||
73 | 64 | |||||||||||||||||||||||||
74 | 65 | |||||||||||||||||||||||||
75 | 66 | |||||||||||||||||||||||||
76 | 67 | |||||||||||||||||||||||||
77 | 68 | |||||||||||||||||||||||||
78 | 69 | |||||||||||||||||||||||||
79 | 70 | |||||||||||||||||||||||||
80 | 71 | |||||||||||||||||||||||||
81 | 72 | |||||||||||||||||||||||||
82 | 73 | |||||||||||||||||||||||||
83 | 74 | |||||||||||||||||||||||||
84 | 75 | |||||||||||||||||||||||||
85 | 76 | |||||||||||||||||||||||||
86 | 77 | |||||||||||||||||||||||||
87 | 78 | |||||||||||||||||||||||||
88 | 79 | |||||||||||||||||||||||||
89 | 80 | |||||||||||||||||||||||||
90 | 81 | |||||||||||||||||||||||||
91 | 82 | |||||||||||||||||||||||||
92 | 83 | |||||||||||||||||||||||||
93 | 84 | |||||||||||||||||||||||||
94 | 85 | |||||||||||||||||||||||||
95 | 86 | |||||||||||||||||||||||||
96 | 87 | |||||||||||||||||||||||||
97 | 88 | |||||||||||||||||||||||||
98 | 89 | |||||||||||||||||||||||||
99 | 90 | |||||||||||||||||||||||||
100 | 91 |