Cose da sapere sugli alert

Cosa sono gli alert

In fase investigativa può essere utile venire "allertati" in tempo reale tramite e-mail o tramite una notifica in RCS Console, di avvenimenti particolari che riguardano il target.

È possibile essere allertati quando:

Per esempio, se da tempo si sta attendendo l’arrivo di prove da un target, si può creare una regola di alert che invii una e-mail e registri un log a ogni prova ricevuta. In questo modo si viene notificati immediatamente quando il target riprende le proprie attività. Successivamente si può disabilitare la regola e semplicemente consultare le evidence mano a mano che arrivano.

Oppure, se si usa l'intelligence, può essere utile venire "allertati" quando viene creato un collegamento a una particolare entità o una nuova entità nell'operation.

Le regole di alert

Le regole di alert definiscono quindi per quali eventi essere allertati. Possono essere usate anche per assegnare automaticamente a evidence o a collegamenti di intelligence dei gradi di importanza, utilizzabili in fase di analisi.

Ambito di applicazione delle regole di alert

Le regole che avvisano dell'arrivo di una evidence possono essere create a livello di:

Le regole che avvisano della creazione automatica di un'entità di intelligence possono essere create a livello di:

Le regole che avvisano della creazione automatica di un collegamento di intelligence possono essere create a livello di:

NOTA: ogni utente sarà avvisato in base alle proprie regole impostate.

Processo di alert

Di seguito la descrizione del processo di alert:

NOTA: l'invio di e-mail è opzionale.

Fase Descrizione
1

L'Analista crea delle regole per essere avvisato dell'arrivo di evidence particolari, di sincronizzazioni dell'agent o di creazioni automatiche di entità o collegamenti di intelligence. Le regole registrano gli alert, le notificano all’interno di RCS Console e le inviano via e-mail (opzionale).

2

Il sistema intercetta le evidence in arrivo o analizza l'elemento che sta creando e li confronta con le regole di alert.

Se la prova... Allora...

corrisponde a una regola di alert

il sistema registra la prova come evidence o aggiunge l'entità o il collegamento all'operation e genera un alert che applica automaticamente il grado di importanza scelto. Opzionalmente viene inviata dal sistema un’e-mail di notifica.

non corrisponde a una regola di alert

il sistema registra la prova come evidence o aggiunge l'entità o il collegamento all'operation senza generare alert.

3

L'Analista riceve una e-mail di alert (se la regola di alert lo prevede) e controlla le registrazioni degli alert. Da un alert naviga direttamente nelle evidence che l'hanno generata o all'entità creata o alla vista dei collegamenti.

4

Terminato il controllo, l'Analista elimina le registrazioni di alert.