Cose da sapere sugli agent

Installazione di un agent

L'agent può essere esposto e identificato se viene installato in ambienti con antivirus o in ambienti gestiti da personale tecnicamente esperto.

Per evitare che questo accada all'installazione viene in realtà inviato un suo sostituto, lo scout agent, che ha il solo compito di installarsi presso il dispositivo del target e verificarne l'ambiente.

Una volta installato, alla prima sincronizzazione lo scout agent compare nella pagina del target. L'icona che lo rappresenta, simile a quella dell'agent, indica la piattaforma su cui è installato. Per esempio:

Acquisizione evidence per analisi ambiente installazione

Dopo il completamento dell'installazione lo scout agent acquisisce evidence:

Analisi ambiente di installazione

Dopo che lo scout agent ha acquisito le evidence, è necessario controllarle e decidere se l'ambiente di installazione è sicuro per l'agent vero e proprio.

Se l'ambiente è sicuro basta procedere con l'aggiornamento dell'agent: lo scout agent viene sostituito dal vero agent.

Se l'ambiente non è sicuro è necessario chiudere lo scout agent.

Aggiornamento dello scout agent

Con l'aggiornamento dello scout agent viene installato l'agent vero e proprio e nella pagina del target l'icona dello scout agent viene sostituita con quella dell'agent.

Sincronizzazione di un agent

Un agent si sincronizza solo se:

Agent offline e online

L'agent si comporta diversamente in base alla disponibilità di una connessione a Internet:

Se la connessione a Internet è... Allora...
non disponibile

se l'agent ha già dei moduli abilitati inizia a registrare i dati internamente al dispositivo.

disponibile

se l'agent ha effettuato la prima sincronizzazione è possibile:

  • cambiare configurazione, per esempio man mano che le richieste di registrazioni si fanno più specifiche per quel dispositivo. La riconfigurazione dell'agent non modifica la configurazione della factory
  • aggiornare il suo software,
  • trasferire dei file da e verso il dispositivo,
  • analizzare le evidence che sono state già inviate

Suggerimento: iniziare creando un agent e abilitando solo la sincronizzazione e il modulo del dispositivo. Quindi, una volta che l'agent è installato e alla ricezione della prima sincronizzazione, abilitare gradualmente gli altri moduli in base alle capacità del dispositivo e al tipo di evidence che si vogliono raccogliere.

 

Disabilitazione temporanea di un agent

È possibile sospendere temporaneamente le attività di un agent senza disinstallarlo, semplicemente disabilitando tutti i moduli e lasciando attiva solo la sincronizzazione.

Collaudo di un agent

Per testare una configurazione prima di usarla, creare un agent in modalità Demo (vedi "Compilazione di una Factory").

L'agent viene creato in versione demo comportandosi in base alla configurazione impostata, con la sola differenza che segnala in modo evidente (con segnalazioni audio, led e messaggi a video) la sua presenza sul dispositivo. Le segnalazioni permettono di identificare facilmente il dispositivo infettato usato per il test.

NOTA: eventuali non ricezioni di evidence da un agent in modalità demo possono essere dovute a una errata configurazione del server, oppure all'impossibilità di raggiungere l’indirizzo del Collector impostato (es.: per problemi nella configurazione di rete).

Configurazione dell'agent

La configurazione di un agent (base o avanzata) può essere modificata più volte. A ogni salvataggio viene creata una copia della configurazione e viene salvata nello storico configurazioni.

Alla successiva sincronizzazione, l'agent riceverà la nuova configurazione (Sent time) e comunicherà l'avvenuta installazione (Activated). Da quel momento eventuali modifiche saranno possibili solo salvando una nuova versione della configurazione.

NOTA: Se Sent time e Activated non sono ancora valorizzati, è possibile ancora modificare la configurazione corrente.

Per la descrizione dello storico delle configurazioni degli agent vedi "Dati dello storico configurazioni di un agent".