In fase investigativa può essere utile venire "allertati" in tempo reale tramite e-mail o tramite una notifica in RCS Console, di avvenimenti particolari che riguardano il target.
È possibile essere allertati quando:
Per esempio, se da tempo si sta attendendo l’arrivo di prove da un target, si può creare una regola di alert che invii una e-mail e registri un log a ogni prova ricevuta. In questo modo si viene notificati immediatamente quando il target riprende le proprie attività. Successivamente si può disabilitare la regola e semplicemente consultare le evidence mano a mano che arrivano.
Oppure, se si usa l'intelligence, può essere utile venire "allertati" quando viene creato un collegamento a una particolare entità o una nuova entità nell'operation.
Le regole di alert definiscono quindi per quali eventi essere allertati. Possono essere usate anche per assegnare automaticamente a evidence o a collegamenti di intelligence dei gradi di importanza, utilizzabili in fase di analisi.
Le regole che avvisano dell'arrivo di una evidence possono essere create a livello di:
Le regole che avvisano della creazione automatica di un'entità di intelligence possono essere create a livello di:
Le regole che avvisano della creazione automatica di un collegamento di intelligence possono essere create a livello di:
NOTA: ogni utente sarà avvisato in base alle proprie regole impostate.
Di seguito la descrizione del processo di alert:
NOTA: l'invio di e-mail è opzionale.
Fase | Descrizione | ||||||
---|---|---|---|---|---|---|---|
1 |
L'Analista crea delle regole per essere avvisato dell'arrivo di evidence particolari, di sincronizzazioni dell'agent o di creazioni automatiche di entità o collegamenti di intelligence. Le regole registrano gli alert, le notificano all’interno di RCS Console e le inviano via e-mail (opzionale). |
||||||
2 |
Il sistema intercetta le evidence in arrivo o analizza l'elemento che sta creando e li confronta con le regole di alert.
|
||||||
3 |
L'Analista riceve una e-mail di alert (se la regola di alert lo prevede) e controlla le registrazioni degli alert. Da un alert naviga direttamente nelle evidence che l'hanno generata o all'entità creata o alla vista dei collegamenti. |
||||||
4 |
Terminato il controllo, l'Analista elimina le registrazioni di alert. |
RCS9.5 | Manuale utente | © COPYRIGHT 2014