Di seguito la descrizione dei dati delle regole di alert:
Dato | Descrizione | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Logs |
(solo in tabella) Quantità di notifiche ricevute corrispondenti alla regola. |
||||||||||||
Abilitato |
Abilita o disabilita la regola di alert. |
||||||||||||
Evento |
Tipo di evento che scatena l'alert:
|
||||||||||||
Path |
operation, target, agent e factory le cui evidence e sincronizzazioni sono da tenere sotto controllo. Indica quindi l'ambito di applicazione della regola. Per esempio, se si sceglie un'operation si controllano le evidence di tutta l'operation. Se si sceglie un agent, si controllano le evidence di quell'agent. |
||||||||||||
Evidence |
(solo eventi tipo Evidence) Tipo di evidence per cui si desidera essere avvisati. Suggerimento: '*' indica tutti i tipi di evidence. Per la descrizione di tutti i tipi vedi "Elenco dei tipi di evidence" |
||||||||||||
Keyword |
(solo eventi tipo Evidence) Parole chiave che l'evidence deve contenere per attivare l'alert. Per esempio, la chiave "password" crea un alert quando l'evidence (audio, documento) contiene la parola "password". |
||||||||||||
Tag |
(solo eventi tipo Evidence) Marca l'evidence automaticamente con diversi gradi di importanza, per facilitare la ricerca delle evidence più importanti in fase di analisi:
|
||||||||||||
Type |
Tipo di alert da ricevere a fronte di una evidence:
|
||||||||||||
Suppression Time |
(solo alert tipo Mail) Tempo di latenza per l'invio di e-mail di alert identiche. Serve a evitare e-mail identiche successive alla prima. Per esempio, se il target non comunica da tempo le sue prove e si è scelto di essere avvisati via e-mail, può accadere che all'arrivo delle prime evidence si sia subissati dalla ricezione di e-mail. Mettendo un Suppression time di 30 minuti, si riceverà una mail ogni 30 minuti. NOTA: questo parametro limita solo l'invio di e-mail. Le evidence vengono sempre registrate. |
Di seguito la descrizione delle registrazioni degli alert:
Dato | Descrizione |
---|---|
Time |
ora-data dell'alert. |
Path |
Raggio di azione da cui è stata generata l'alert. Per esempio, se nella regola in Path, è stato scelto un target, qui comparirà il nome del target e il nome dell'operation cui appartiene. |
Evidence |
Quantità di evidence che hanno generato l'alert. |
RCS8.2 | Manuale di installazione e uso | © COPYRIGHT 2012