Cose da sapere sugli agent

Introduzione

L'agent può essere esposto e identificato se viene installato in ambienti con antivirus o in ambienti gestiti da personale tecnicamente esperto.

Per evitare che questo accada sono stati previsti tre livelli diversi di agent:

L'agent scout è in realtà un sostituto dell'agent inviato all'inizio della fase di installazione con lo scopo di analizzare il livello di sicurezza del dispositivo del target.

L'agent soldier e l'agent elite sono agent veri e propri. L'agent soldier viene installato in ambienti non completamente sicuri e quindi permette di raccogliere solo alcune tipi di evidence. L'agent elite viene installato in ambienti sicuri e può raccogliere tutti i tipi di evidence disponibili.

Processo di installazione di un agent
Fase Descrizione
1

Il Tecnico installa l'agent scout sul dispositivo del target.

2

L'agent scout raccoglie le evidence dal dispositivo per verificarne il livello di sicurezza.

3

Il Tecnico aggiorna l'agent:

Se l'ambiente è... Allora...
sicuro

il sistema installa l'agent elite.

non completamente sicuro

il sistema installa l'agent soldier.

non sicuro non è possibile aggiornare l'agent.
Icone degli agent

L'icona di un agent riporta le seguenti informazioni:

Di seguito sono riportate le icone dei tre livelli di agent, a titolo di esempio per un dispositivo desktop Windows:

Agent scout

Una volta installato, alla prima sincronizzazione l'agent scout compare nella pagina del target.

Lo scout agent acquisisce evidence:

IMPORTANTE: Le evidence di tipo screenshot vengono raccolte solo se il modulo è attivo nella configurazione. Se necessario, ricordarsi di abilitarlo prima di inviare l'agent.

Agent soldier

L'agent soldier permette di raccogliere le evidence definite dai moduli della configurazione base tranne i moduli Call e Accessed file.

IMPORTANTE: la configurazione avanzata non è abilitata per gli agent soldier.

Suggerimento: una volta che l'agent soldier è installato, verificare la configurazione definita in fase iniziale per assicurarsi che risponda alle necessità dell'indagine e alle caratteristiche dell'agent.

Agent elite

L'agent elite permette di raccogliere tutti i tipi di evidence, utilizzando sia la configurazione base che quella avanzata.

Sincronizzazione di un agent

Un agent si sincronizza solo se:

Agent offline e online

L'agent si comporta diversamente in base alla disponibilità di una connessione a Internet:

Se la connessione a Internet è... Allora...
non disponibile

se l'agent ha già dei moduli abilitati inizia a registrare i dati internamente al dispositivo.

disponibile

se l'agent ha effettuato la prima sincronizzazione è possibile:

  • cambiare configurazione, per esempio man mano che le richieste di registrazioni si fanno più specifiche per quel dispositivo. La riconfigurazione dell'agent non modifica la configurazione della factory
  • aggiornare il suo software
  • trasferire dei file da e verso il dispositivo
  • analizzare le evidence che sono state già inviate

Suggerimento: iniziare creando un agent e abilitando solo la sincronizzazione e il modulo del dispositivo. Quindi, una volta che l'agent è installato e alla ricezione della prima sincronizzazione, abilitare gradualmente gli altri moduli in base alle capacità del dispositivo e al tipo di evidence che si vogliono raccogliere.

Disabilitazione temporanea di un agent

È possibile sospendere temporaneamente le attività di un agent senza disinstallarlo, semplicemente disabilitando tutti i moduli e lasciando attiva solo la sincronizzazione.

Collaudo di un agent

Per testare una configurazione prima di usarla, creare un agent in modalità Demo (vedi "Compilazione di una Factory").

L'agent viene creato in versione demo comportandosi in base alla configurazione impostata, con la sola differenza che segnala in modo evidente (con segnalazioni audio, led e messaggi a video) la sua presenza sul dispositivo. Le segnalazioni permettono di identificare facilmente il dispositivo infettato usato per il test.

NOTA: eventuali non ricezioni di evidence da un agent in modalità demo possono essere dovute a una errata configurazione del server, oppure all'impossibilità di raggiungere l’indirizzo del Collector impostato (es.: per problemi nella configurazione di rete).

Configurazione dell'agent

La configurazione di un agent (base o avanzata) può essere modificata più volte. A ogni salvataggio viene creata una copia della configurazione e viene salvata nello storico configurazioni.

Alla successiva sincronizzazione, l'agent riceverà la nuova configurazione (Ora di invio) e comunicherà l'avvenuta installazione (Attivato). Da quel momento eventuali modifiche saranno possibili solo salvando una nuova versione della configurazione.

NOTA: Se Ora di invio e Attivato non sono ancora valorizzati, è possibile ancora modificare la configurazione corrente.

Per la descrizione dello storico delle configurazioni degli agent vedi "Dati dello storico configurazioni di un agent".