Dati degli alert dal target (Alert)

Dati delle regole di alert

Di seguito la descrizione dei dati delle regole di alert:

Dato Descrizione
Logs

(solo in tabella) Quantità di notifiche ricevute corrispondenti alla regola.

Abilitato

Abilita o disabilita la regola di alert.

Evento

Tipo di evento che scatena l'alert:

  • Evidence: attiva la regola quando arriva una evidence che soddisfa i criteri di seguito indicati.
  • Sync: attiva la regola quando l'agent di seguito indicato effettua la sincronizzazione.
  • Instance: attiva la regola quando l'agent creato (istanziato) dalla factory di seguito indicata esegue la prima sincronizzazione.
Path

operation, target, agent e factory le cui evidence e sincronizzazioni sono da tenere sotto controllo. Indica quindi l'ambito di applicazione della regola.

Per esempio, se si sceglie un'operation si controllano le evidence di tutta l'operation. Se si sceglie un agent, si controllano le evidence di quell'agent.

Evidence

(solo eventi tipo Evidence) Tipo di evidence per cui si desidera essere avvisati.

Suggerimento: '*' indica tutti i tipi di evidence.

Per la descrizione di tutti i tipi vedi "Elenco dei tipi di evidence"

Keyword

(solo eventi tipo Evidence) Parole chiave che l'evidence deve contenere per attivare l'alert.

Per esempio, la chiave "password" crea un alert quando l'evidence (audio, documento) contiene la parola "password".

Tag

(solo eventi tipo Evidence) Marca l'evidence automaticamente con diversi gradi di importanza, per facilitare la ricerca delle evidence più importanti in fase di analisi:

Icona Descrizione

Importanza massima.

Importanza intermedia.

Importanza normale.

Importanza minima.

-

Nessuna importanza.

Type

Tipo di alert da ricevere a fronte di una evidence:

  • Log: alert registrata e notificata in RCS Console.
  • Mail: e-mail e alert registrata
  • None: nessun alert né registrata, né via e-mail. Utile per marcare automaticamente le evidence per importanza (Tag)
Suppression Time

(solo alert tipo Mail) Tempo di latenza per l'invio di e-mail di alert identiche. Serve a evitare e-mail identiche successive alla prima. Per esempio, se il target non comunica da tempo le sue prove e si è scelto di essere avvisati via e-mail, può accadere che all'arrivo delle prime evidence si sia subissati dalla ricezione di e-mail. Mettendo un Suppression time di 30 minuti, si riceverà una mail ogni 30 minuti.

NOTA: questo parametro limita solo l'invio di e-mail. Le evidence vengono sempre registrate.

Dati delle registrazioni

Di seguito la descrizione delle registrazioni degli alert:

Dato Descrizione
Time

ora-data dell'alert.

Path

Raggio di azione da cui è stata generata l'alert.

Per esempio, se nella regola in Path, è stato scelto un target, qui comparirà il nome del target e il nome dell'operation cui appartiene.

Evidence

Quantità di evidence che hanno generato l'alert.