Di seguito la descrizione dei dati delle regole di alert:
Dato | Descrizione | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Logs |
(solo in tabella) Quantità di notifiche ricevute corrispondenti alla regola. |
||||||||||||
Abilitato |
Abilita o disabilita la regola di alert. |
||||||||||||
Evento |
Tipo di evento che scatena l'alert:
|
||||||||||||
Percorso |
operation, target, entità, agent e factory da tenere sotto controllo. Indica quindi l'ambito di applicazione della regola. Per esempio, per l'evento Evidence, se si sceglie un'operation si controllano le evidence di tutta l'operation. Se si sceglie un agent, si controllano le evidence di quell'agent. |
||||||||||||
Evidence |
(solo eventi tipo Evidence) Tipo di evidence per cui si desidera essere avvisati. Suggerimento: '*' indica tutti i tipi di evidence. Per la descrizione di tutti i tipi vedi "Elenco dei tipi di evidence" |
||||||||||||
Chiave |
(solo eventi tipo Evidence) Parole chiave che l'evidence deve contenere per attivare l'alert. Per esempio, la chiave "password" crea un alert quando l'evidence (audio, documento) contiene la parola "password". |
||||||||||||
Rilevanza |
(solo eventi tipo Evidence o Collegamento) Marca l'evidence o il collegamento automaticamente con diversi gradi di importanza, per facilitare la fase di analisi:
|
||||||||||||
Tipo |
Tipo di alert da ricevere a fronte di un evento:
|
||||||||||||
Tempo di Soppressione |
(solo alert tipo Mail) Tempo di latenza per l'invio di e-mail di alert identiche. Serve a evitare e-mail identiche successive alla prima. Per esempio, se il target non comunica da tempo le sue prove e si è scelto di essere avvisati via e-mail, può accadere che all'arrivo delle prime evidence si sia subissati dalla ricezione di e-mail. Mettendo un Tempo di Soppressione di 30 minuti, si riceverà una e-mail ogni 30 minuti. NOTA: questo parametro limita solo l'invio di e-mail. Gli eventi vengono sempre registrati. |
Di seguito la descrizione delle registrazioni degli alert:
Dato | Descrizione |
---|---|
Data |
ora-data dell'alert. |
Percorso |
Raggio di azione da cui è stata generata l'alert. Per esempio, se nella regola in Percorso, è stato scelto un target, qui comparirà il nome del target e il nome dell'operation cui appartiene. |
Info |
Quantità e tipo di eventi che hanno generato l'alert. |
RCS9.3 | Manuale di installazione e uso | © COPYRIGHT 2013