Qué debería saber acerca de alerts

Qué son los alerts

Durante la fase de investigación, puede ser útil recibir alertas en tiempo real sobre eventos especiales que se relacionan con el target, ya sea por correo electrónico o por medio de notificaciones en RCS Console.

Es posible recibir alerts cuando:

Por ejemplo, si hace tiempo que se espera la llegada de evidence de un target, se puede crear una regla de alert para que se envíe un correo electrónico y se actualice un registro cada vez que se reciba información. De esta forma, los usuarios reciben una notificación inmediata cuando el target reanuda las actividades. Más adelante se puede desactivar la regla y consultar la evidence a medida que va llegando.

O, si se usa Intelligence, puede ser útil recibir una alerta cuando se crea un enlace a una entidad determinada o se crea una nueva entidad en la operation.

Reglas de alert

En las reglas de alert se establece qué eventos generan alerts. Se pueden utilizar para asignar niveles de importancia a la evidence o a las relaciones de Intelligence de forma automática, que son útiles en la fase de análisis.

Ámbito de aplicación de las reglas de alert

Las reglas para notificar cuando llega evidence se pueden crear en los siguientes niveles:

Las reglas para notificar la creación automática de una entidad Intelligence se pueden crear en los siguientes niveles:

Las reglas para notificar la creación automática de un enlace de Intelligence se pueden crear en los siguientes niveles:

NOTA: cada usuario recibirá alertas según las reglas establecidas.

Proceso de alert

A continuación se describe el proceso de alert:

NOTA: el envío de un correo electrónico es opcional.

Fase Descripción
1

El analista crea reglas para recibir alertas ante la llegada de cierta evidence, la sincronización de agents o la creación automática de entidades o enlaces de Intelligence. Las reglas registran los alerts, los notifican a RCS Console y los envían por correo electrónico (opcional).

2

El sistema intercepta la evidence entrante o analiza el elemento que se está creando y lo compara con las reglas de alert.

Si la evidence... Entonces...

corresponde a una regla de alert

El sistema guarda la prueba como evidence o agrega la entidad o enlace a la operation, generando un alert que aplica automáticamente el nivel de importancia seleccionado. Opcionalmente, el sistema puede enviar una notificación por correo electrónico.

no corresponde a una regla de alert

El sistema guarda la prueba como evidence o agrega lo entidad o enlace a la operation sin generar ningun alert.

3

El analista recibe un correo electrónico de alert (si se establece en la regla de alert) y revisa el registro de alert. Desde un alert, abre directamente la evidence que la generó o la entidad creada o la vista de enlaces.

4

Después de revisarlo, el analista elimina los registros de alert.