Conforme já comentamos anteriormente no nosso blog, todas as soluções EnCase utilizam o mesmo agente passivo para obter visibilidade completa da atividade dentro dos dispositivos de uma organização. Este pequeno agente, que no Windows somente pesa 1,4 MB e consome só 5 MB de memoria RAM, é o encarregado de coletar toda a informação dos servidores, computadores de escritório, notebooks e dispositivos móveis, permitindo utilizar todas as possibilidades investigativas que oferecem as diferentes soluções EnCase. Desde a versão 7.08 do EnCase se tem adicionado uma opção que permite mudar as propriedades de arquivo do agente EnCase. Isto é especialmente útil se a sua organização deseja implementar os agentes de maneira secreta, posto que minimiza a quantidade de dados identificáveis disponíveis aos usuários dos dispositivos.
Por padrão, o agente EnCase mostra as seguintes propriedades de arquivo:
Para mudar estas opções, rode o instalador do SAFE desde a linha de comandos com o parâmetro -opt, por exemplo: “safe_installer.exe -opt”. O assistente de configuração do SAFE rodará com um botão novo chamado “Alternate File Props”, esta opção estará disponível na tela de Informação de Check-In:
Ao clicar sobre este botão você poderá configurar o Nome do Produto, a Descrição do Arquivo e os detalhes dos Direitos Autorais do agente.
O serviço enstart gerado agora terá as seguintes propriedades de arquivo:
Ao implementar esta funcionalidade podemos minimizar a possibilidade de que os usuários da organização com maiores conhecimentos técnicos possam descobrir a presença do EnCase durante investigações que busquem fraude dentro da organização e outros casos que envolvam o uso inapropriado dos computadores pelo pessoal interno.
Você conhece algum outro caso de uso no qual esta funcionalidade seria útil? Espero seus comentários na seção de baixo.
ARTIGOS RELACIONADOS
Como Obter Evidência Em Ajustes De Discos
EnCase Para Organizações Pequenas: As Fraudes E Seu Vestígio No Arquivo NTUSER.DAT
EnCase Para Auditorias no Sistema Linux: Como Encontrar Arquivos Eliminados
Auditando Proativamente Arquivos Eliminados do Dropbox Usando EnCase Cybersecurity
No comments :
Post a Comment