La meta del analista es proporcionar evidencias válidas para la investigación en curso. La evidence:
Para hacerlo, el analista puede realizar los siguientes procedimientos:
Para seleccionar y recuperar evidence importante:
Paso | Acción |
---|---|
1 |
En la sección Sistema de archivos, durante la intercepción remota, explore los discos duros del dispositivo en busca de archivos para descargar. |
2 |
En la sección Dashboard, agregue la operation, los targets y los agents que se van a monitorear al Dashboard. |
3 |
En la sección Alerting, defina las reglas para recibir alertas cuando llegue evidence de especial interés y para etiquetarla de acuerdo a su importancia. |
Para analizar, seleccionar y exportar evidence:
Paso | Acción |
---|---|
1 |
En la sección Evidence, analice la evidence y etiquétela de acuerdo a su nivel de importancia y a la necesidad de exportación. |
2 |
Para la evidence de especial interés, vea el análisis detallado. |
3 |
En la sección Evidence, exporte la evidence útil. |
4 |
En la sección Sistema de archivos, exporte la estructura del disco duro |
Para procesar la información obtenida sobre las personas y lugares involucrados en la investigación:
Paso | Acción |
---|---|
1 |
En la sección Intelligence, vea y administre las entidades de una operation. Consulte "Administración de entidades: vistas de íconos y en tablas" |
2 |
Ver o editar los detalles de la entidad. |
3 |
En la sección Alerting, cree reglas para recibir alertas cuando el sistema crea automáticamente nuevas entidades y nuevos enlaces y para etiquetar enlaces de acuerdo a su importancia. |