Voi siete qui:Funzioni dell'Analista > Alert su nuove evidence > Cose da sapere sugli alert dal target

Cose da sapere sugli alert dal target

Cosa sono gli alert

In fase investigativa sono diverse le prove raccolte dal dispositivo del target. Oltre a raccogliere le prove per analizzarle, può essere utile venire "allertati" in tempo reale tramite e-mail o tramite una notifica in RCS Console, di avvenimenti particolari che riguardano il target.

Per esempio, se da tempo si sta attendendo l’arrivo di prove da un target, si può creare una regola di alert che invii una e-mail e registri un log a ogni prova ricevuta. In questo modo si viene notificati immediatamente quando il target riprende le proprie attività. Successivamente si può disabilitare la regola e semplicemente consultare le evidence mano a mano che arrivano.

Utilità delle regole di alert

Le regole di alert indicano al sistema per quali evidence o sincronizzazioni essere avvisati. Inoltre possono essere usate per assegnare automaticamente a certe evidence dei gradi di importanza, utilizzabili in fase di analisi per una selezione delle evidence.

Ambito di applicazione delle regole di alert

È possibile creare regole che avvisano dell'arrivo di una evidence nel sistema a livello di:

NOTA: ogni utente sarà avvisato in base alle proprie regole impostate.

Processo di alert

Di seguito la descrizione del processo di alert:

NOTA: l'invio di e-mail è opzionale.

Fase Descrizione
1

L'Analista crea delle regole per essere avvisato dell'arrivo di evidence particolari, o di sincronizzazioni del dispositivo del target. Le regole registrano gli alert, le notificano all’interno di RCS Console e le inviano via e-mail (opzionale).

2

Il sistema intercetta le evidence in arrivo e le confronta con le regole di alert.

Se la prova... Allora...

corrisponde a una regola di alert

il sistema registra la prova come evidence e genera un alert che applica automaticamente il grado di importanza scelto. Opzionalmente viene inviata dal sistema un’e-mail di notifica.

non corrisponde a una regola di alert

il sistema registra la prova come evidence senza generare alert.

3

L'Analista riceve una e-mail di alert (se la regola di alert lo prevede) e controlla le registrazioni degli alert. Da un alert naviga direttamente nelle evidence che l'hanno generata.

4

Terminato il controllo, l'Analista elimina le registrazioni di alert.

RCS8.2 | Manuale di installazione e uso | © COPYRIGHT 2012