L'agent può essere esposto e identificato se viene installato in ambienti con antivirus o in ambienti gestiti da personale tecnicamente esperto.
Per evitare che questo accada all'installazione viene in realtà inviato un suo sostituto, lo scout agent, che ha il solo compito di installarsi presso il dispositivo del target e verificarne l'ambiente.
Una volta installato, alla prima sincronizzazione lo scout agent compare nella pagina del target. L'icona che lo rappresenta, simile a quella dell'agent, indica la piattaforma su cui è installato. Per esempio:
Dopo il completamento dell'installazione lo scout agent acquisisce evidence:
Dopo che lo scout agent ha acquisito le evidence, è necessario controllarle e decidere se l'ambiente di installazione è sicuro per l'agent vero e proprio.
Se l'ambiente è sicuro basta procedere con l'aggiornamento dell'agent: lo scout agent viene sostituito dal vero agent.
Se l'ambiente non è sicuro è necessario chiudere lo scout agent.
Con l'aggiornamento dello scout agent viene installato l'agent vero e proprio e nella pagina del target l'icona dello scout agent viene sostituita con quella dell'agent.
Un agent si sincronizza solo se:
L'agent si comporta diversamente in base alla disponibilità di una connessione a Internet:
Se la connessione a Internet è... | Allora... |
---|---|
non disponibile |
se l'agent ha già dei moduli abilitati inizia a registrare i dati internamente al dispositivo. |
disponibile |
se l'agent ha effettuato la prima sincronizzazione è possibile:
Suggerimento: iniziare creando un agent e abilitando solo la sincronizzazione e il modulo del dispositivo. Quindi, una volta che l'agent è installato e alla ricezione della prima sincronizzazione, abilitare gradualmente gli altri moduli in base alle capacità del dispositivo e al tipo di evidence che si vogliono raccogliere. |
È possibile sospendere temporaneamente le attività di un agent senza disinstallarlo, semplicemente disabilitando tutti i moduli e lasciando attiva solo la sincronizzazione.
Per testare una configurazione prima di usarla, creare un agent in modalità Demo (
L'agent viene creato in versione demo comportandosi in base alla configurazione impostata, con la sola differenza che segnala in modo evidente (con segnalazioni audio, led e messaggi a video) la sua presenza sul dispositivo. Le segnalazioni permettono di identificare facilmente il dispositivo infettato usato per il test.
NOTA: eventuali non ricezioni di evidence da un agent in modalità demo possono essere dovute a una errata configurazione del server, oppure all'impossibilità di raggiungere l’indirizzo del Collector impostato (es.: per problemi nella configurazione di rete).
La configurazione di un agent (base o avanzata) può essere modificata più volte. A ogni salvataggio viene creata una copia della configurazione e viene salvata nello storico configurazioni.
Alla successiva sincronizzazione, l'agent riceverà la nuova configurazione (Sent time) e comunicherà l'avvenuta installazione (Activated). Da quel momento eventuali modifiche saranno possibili solo salvando una nuova versione della configurazione.
NOTA: Se Sent time e Activated non sono ancora valorizzati, è possibile ancora modificare la configurazione corrente.
Per la descrizione dello storico delle configurazioni degli agent