Voi siete qui: Funzioni dell'Analista > Alert > Dati degli alert

Dati degli alert

Dati delle regole di alert

Di seguito la descrizione dei dati delle regole di alert:

Dato Descrizione
Logs

(solo in tabella) Quantità di notifiche ricevute corrispondenti alla regola.

Abilitato

Abilita o disabilita la regola di alert.

Evento

Tipo di evento che scatena l'alert:

  • Evidence: attiva la regola quando arriva una evidence che soddisfa i criteri di seguito indicati.
  • Sync: attiva la regola quando l'agent di seguito indicato effettua la sincronizzazione.
  • Instance: attiva la regola quando l'agent creato (istanziato) dalla factory di seguito indicata esegue la prima sincronizzazione.
  • Entity: attiva la regola quando il sistema crea in automatico una nuova entità di intelligence all'interno dell'operation indicata.
  • Link: attiva la regola quando il sistema crea in automatico un collegamento tra entità di intelligence all'interno dell'operation indicata o con l'entità indicata.
Percorso

operation, target, entità, agent e factory da tenere sotto controllo. Indica quindi l'ambito di applicazione della regola.

Per esempio, per l'evento Evidence, se si sceglie un'operation si controllano le evidence di tutta l'operation. Se si sceglie un agent, si controllano le evidence di quell'agent.

Evidence

(solo eventi tipo Evidence) Tipo di evidence per cui si desidera essere avvisati.

Suggerimento: '*' indica tutti i tipi di evidence.

Per la descrizione di tutti i tipi vedi "Elenco dei tipi di evidence"

Chiave

(solo eventi tipo Evidence) Parole chiave che l'evidence deve contenere per attivare l'alert.

Per esempio, la chiave "password" crea un alert quando l'evidence (audio, documento) contiene la parola "password".

Rilevanza

(solo eventi tipo Evidence o Collegamento) Marca l'evidence o il collegamento automaticamente con diversi gradi di importanza, per facilitare la fase di analisi:

Icona Descrizione

Importanza massima.

Importanza intermedia.

Importanza normale.

Importanza minima.

-

Nessuna importanza.

Tipo

Tipo di alert da ricevere a fronte di un evento:

  • Log: alert registrata e notificata in RCS Console.
  • Mail: e-mail e alert registrata.
  • Nessuno: nessun alert né registrata, né via e-mail. Utile per marcare automaticamente le evidence o i collegamenti per importanza (Rilevanza).
Tempo di Soppressione

(solo alert tipo Mail) Tempo di latenza per l'invio di e-mail di alert identiche. Serve a evitare e-mail identiche successive alla prima. Per esempio, se il target non comunica da tempo le sue prove e si è scelto di essere avvisati via e-mail, può accadere che all'arrivo delle prime evidence si sia subissati dalla ricezione di e-mail. Mettendo un Tempo di Soppressione di 30 minuti, si riceverà una e-mail ogni 30 minuti.

NOTA: questo parametro limita solo l'invio di e-mail. Gli eventi vengono sempre registrati.

Dati delle registrazioni

Di seguito la descrizione delle registrazioni degli alert:

Dato Descrizione
Data

ora-data dell'alert.

Percorso

Raggio di azione da cui è stata generata l'alert.

Per esempio, se nella regola in Percorso, è stato scelto un target, qui comparirà il nome del target e il nome dell'operation cui appartiene.

Info

Quantità e tipo di eventi che hanno generato l'alert.

RCS9.5 | Manuale utente | © COPYRIGHT 2014