L'agent può essere esposto e identificato se viene installato in ambienti con antivirus o in ambienti gestiti da personale tecnicamente esperto.
Per evitare che questo accada sono stati previsti tre livelli diversi di agent:
L'agent scout è in realtà un sostituto dell'agent inviato all'inizio della fase di installazione con lo scopo di analizzare il livello di sicurezza del dispositivo del target.
L'agent soldier e l'agent elite sono agent veri e propri. L'agent soldier viene installato in ambienti non completamente sicuri e quindi permette di raccogliere solo alcune tipi di evidence. L'agent elite viene installato in ambienti sicuri e può raccogliere tutti i tipi di evidence disponibili.
Fase | Descrizione | ||||||||
---|---|---|---|---|---|---|---|---|---|
1 |
Il Tecnico installa l'agent scout sul dispositivo del target. |
||||||||
2 |
L'agent scout raccoglie le evidence dal dispositivo per verificarne il livello di sicurezza. |
||||||||
3 |
Il Tecnico aggiorna l'agent:
|
L'icona di un agent riporta le seguenti informazioni:
Di seguito sono riportate le icone dei tre livelli di agent, a titolo di esempio per un dispositivo desktop Windows:
Una volta installato, alla prima sincronizzazione l'agent scout compare nella pagina del target.
Lo scout agent acquisisce evidence:
IMPORTANTE: Le evidence di tipo screenshot vengono raccolte solo se il modulo è attivo nella configurazione. Se necessario, ricordarsi di abilitarlo prima di inviare l'agent.
L'agent soldier permette di raccogliere le evidence definite dai moduli della configurazione base tranne i moduli Call e Accessed file.
IMPORTANTE: la configurazione avanzata non è abilitata per gli agent soldier.
Suggerimento: una volta che l'agent soldier è installato, verificare la configurazione definita in fase iniziale per assicurarsi che risponda alle necessità dell'indagine e alle caratteristiche dell'agent.
L'agent elite permette di raccogliere tutti i tipi di evidence, utilizzando sia la configurazione base che quella avanzata.
Un agent si sincronizza solo se:
L'agent si comporta diversamente in base alla disponibilità di una connessione a Internet:
Se la connessione a Internet è... | Allora... |
---|---|
non disponibile |
se l'agent ha già dei moduli abilitati inizia a registrare i dati internamente al dispositivo. |
disponibile |
se l'agent ha effettuato la prima sincronizzazione è possibile:
Suggerimento: iniziare creando un agent e abilitando solo la sincronizzazione e il modulo del dispositivo. Quindi, una volta che l'agent è installato e alla ricezione della prima sincronizzazione, abilitare gradualmente gli altri moduli in base alle capacità del dispositivo e al tipo di evidence che si vogliono raccogliere. |
È possibile sospendere temporaneamente le attività di un agent senza disinstallarlo, semplicemente disabilitando tutti i moduli e lasciando attiva solo la sincronizzazione.
Per testare una configurazione prima di usarla, creare un agent in modalità Demo (
L'agent viene creato in versione demo comportandosi in base alla configurazione impostata, con la sola differenza che segnala in modo evidente (con segnalazioni audio, led e messaggi a video) la sua presenza sul dispositivo. Le segnalazioni permettono di identificare facilmente il dispositivo infettato usato per il test.
NOTA: eventuali non ricezioni di evidence da un agent in modalità demo possono essere dovute a una errata configurazione del server, oppure all'impossibilità di raggiungere l’indirizzo del Collector impostato (es.: per problemi nella configurazione di rete).
La configurazione di un agent (base o avanzata) può essere modificata più volte. A ogni salvataggio viene creata una copia della configurazione e viene salvata nello storico configurazioni.
Alla successiva sincronizzazione, l'agent riceverà la nuova configurazione (Ora di invio) e comunicherà l'avvenuta installazione (Attivato). Da quel momento eventuali modifiche saranno possibili solo salvando una nuova versione della configurazione.
NOTA: Se Ora di invio e Attivato non sono ancora valorizzati, è possibile ancora modificare la configurazione corrente.
Per la descrizione dello storico delle configurazioni degli agent