El agent puede quedar expuesto y ser identificado si se instala en entornos con antivirus o que son administrados por técnicos expertos.
Para evitar que esto ocurra, se incluyeron tres niveles diferentes de agents:
El agent scout es un reemplazo del agent enviado al comienzo de la fase de instalación para analizar el nivel de seguridad del dispositivo del target.
El agent soldier y el agent elite son agents reales. El agent soldier se instala en entornos que no son completamente seguros y por lo tanto permiten recopilar algunos tipos de evidence. El agent elite se instala en entornos seguros y puede recopilar todos los tipos de evidence disponible.
Fase | Descripción | ||||||||
---|---|---|---|---|---|---|---|---|---|
1 |
El técnico instala el agent scout en el dispositivo del target. |
||||||||
2 |
El agent scout recopila evidence del dispositivo para verificar el nivel de seguridad. |
||||||||
3 |
El técnico actualiza el agent:
|
El ícono del agent proporciona la siguiente información:
A continuación se muestran los íconos de los tres niveles de agents, por ejemplo, para un dispositivo de escritorio con Windows:
Una vez instalado, el agent scout aparece en la página del target después de la primera sincronización.
El agent scout obtiene evidence:
IMPORTANTE: la evidence de tipo Screenshot solo se recopila si el módulo está activado en la configuración. Si es necesario, recuerde activarlo antes de enviar el agent.
El agent soldier le permite recopilar evidence definida por medio de los módulos de configuración básica, excepto para los módulos Call y Accessed file.
IMPORTANTE: la configuración avanzada no está activada para los agents soldier.
Sugerencia: una vez que se instale el agent soldier, verifique la configuración definida en la fase inicial para asegurarse de que cumple con las necesidades de la investigación y las características del agent.
El agent elite le permite recopilar todos los tipos de evidence por medio de la configuración básica y la avanzada
Un agent se sincronizará solo si:
Un agent se comporta de manera diferente de acuerdo con la disponibilidad de una conexión a Internet:
Si la conexión a Internet... | Entonces... |
---|---|
no está disponible |
si el agent tiene módulos activados, comienza a registrar datos en el dispositivo. |
está disponible |
si el agent efectuó la primera sincronización, es posible:
Sugerencia: comience con la creación de un agent y active solo la sincronización y el módulo del dispositivo. Posteriormente, una vez instalado, y después de recibir la primera sincronización, active gradualmente otros módulos, de acuerdo con la capacidad del dispositivo y el tipo de evidence que desea recopilar. |
Las actividades del agent pueden suspenderse temporalmente sin desinstalar el agent. Para ello simplemente desactive todos los módulos y deje solo la sincronización activa.
Para probar la configuración antes del uso de la producción, cree un agent en modo de demostración (consulte "Compilación de una factory").
El agent se crea en modo demostración, se comporta de acuerdo con la configuración especificada, con la única diferencia de que señala su presencia con audio, LED y mensajes en pantalla. Ese señalamiento permite la identificación fácil de un dispositivo infectado que se usa para prueba.
NOTA: en caso de que no se reciba evidence de un agent en modo de demostración, esto puede ocurrir debido a un error en la configuración del servidor o a que no es posible conectarse a la dirección del Collector establecido (p. ej.: debido a problemas de configuración de la red).
Es posible cambiar la configuración de los agents (básica o avanzada) varias veces. Al guardar, se crea una copia de la configuración que posteriormente se guarda en el registro de configuración.
En la siguiente sincronización, el agent recibirá la nueva configuración (Hora de envío) y comunicará la instalación correcta (Activado). A partir de ese momento, cualquier cambio solo podrá realizarse guardando una nueva configuración.
NOTA: si los valores Hora de envío y Activado no tienen ningún valor asignado, aún se podrá hacer cambios en la configuración actual.
Para ver una descripción del registro de configuración de los agents consulte "Datos del registro de configuración de un agent".
RCS9.5 | Manual del usuario | © COPYRIGHT 2014