L'obiettivo dell'Analista è offrire delle prove valide per l'indagine in corso. Le prove sono:
Per farlo può portare a termine le seguenti procedure:
Per selezionare e recuperare prove importanti:
Passo | Azione |
---|---|
1 |
Nella sezione File System, se l'intercettazione è da remoto, esplorare l'hard disk dei dispositivi alla ricerca di file da scaricare. |
2 |
Nella sezione Dashboard aggiungere al pannello di controllo le operation, target e agent da controllare maggiormente.
|
3 |
Nella sezione Alerting costruire le regole per essere avvisato quando arrivano prove di particolare interesse e per marcare delle evidence secondo la loro importanza.
|
Per analizzare, selezionare e esportare le evidence:
Passo | Azione |
---|---|
1 |
Nella sezione Evidence analizzare le evidence e marcarle in base all'importanza e alla necessità o meno di esportarle.
|
2 |
Per le evidence di particolare interesse passare all'analisi dettagliata.
|
3 |
Nella sezione Evidence esportare le evidence utili.
|
4 |
Nella sezione File System esportare la struttura dell'hard disk.
|