Durante la fase de investigación, puede ser útil recibir alertas en tiempo real sobre eventos especiales que se relacionan con el target, ya sea por correo electrónico o por medio de notificaciones en RCS Console.
Es posible recibir alerts cuando:
Por ejemplo, si hace tiempo que se espera la llegada de evidence de un target, se puede crear una regla de alert para que se envíe un correo electrónico y se actualice un registro cada vez que se reciba información. De esta forma, los usuarios reciben una notificación inmediata cuando el target reanuda las actividades. Más adelante se puede desactivar la regla y consultar la evidence a medida que va llegando.
O, si se usa Intelligence, puede ser útil recibir una alerta cuando se crea un enlace a una entidad determinada o se crea una nueva entidad en la operation.
En las reglas de alert se establece qué eventos generan alerts. Se pueden utilizar para asignar niveles de importancia a la evidence o a las relaciones de Intelligence de forma automática, que son útiles en la fase de análisis.
Las reglas para notificar cuando llega evidence se pueden crear en los siguientes niveles:
Las reglas para notificar la creación automática de una entidad Intelligence se pueden crear en los siguientes niveles:
Las reglas para notificar la creación automática de un enlace de Intelligence se pueden crear en los siguientes niveles:
NOTA: cada usuario recibirá alertas según las reglas establecidas.
A continuación se describe el proceso de alert:
NOTA: el envío de un correo electrónico es opcional.
Fase | Descripción | ||||||
---|---|---|---|---|---|---|---|
1 |
El analista crea reglas para recibir alertas ante la llegada de cierta evidence, la sincronización de agents o la creación automática de entidades o enlaces de Intelligence. Las reglas registran los alerts, los notifican a RCS Console y los envían por correo electrónico (opcional). |
||||||
2 |
El sistema intercepta la evidence entrante o analiza el elemento que se está creando y lo compara con las reglas de alert.
|
||||||
3 |
El analista recibe un correo electrónico de alert (si se establece en la regla de alert) y revisa el registro de alert. Desde un alert, abre directamente la evidence que la generó o la entidad creada o la vista de enlaces. |
||||||
4 |
Después de revisarlo, el analista elimina los registros de alert. |
RCS9.5 | Manual del usuario | © COPYRIGHT 2014