Как работает EnCase® Field Intelligence Model

FIM основан ня ядре EnCase® Enterprise technology и состоит из точно таких же пяти компонентов:SAFE, Examiner, Servlet, Enterprise Connection и Реагирование на события.

Первые два компонета устанавливаются и управляются с одного лэптопа:

SAFE (Secure Authentication For EnCase)
Сервер используется для аутентификации пользователей, снабжает правами доступа, сохраняет логи EnCase транзакций и предоставляет безопасную передачу данных. SAFE-сервер взаимодействует с Examiner и исследуемым компьютером, используя 128-битное AES шифрование данных для защиты межкомпонентного сообщения.

The Examiner
Это компьютер, с которого авторизованные пользователи проводят расследование, аудит и запускают процесс реагирования на события на намеченной машине.

Servlet
Автоматически обновляемый, пассивный программный агент, который устанавливается на рабочие станции и сервера. Устанавливается соединение между Safe, Servlet и Examiner для анализа компьютера, на котором установлен Servlet. Servlet обладает свойством невидимости для большинства операционных систем. Servlet работает в следующих ОС: все операционные систмемы Windows, Linux kernel 2.4 и выше, Solaris 8/9 32 & 64 bit, Mac OSX и AIX.

Enterprise Connection
Устанавливает виртуальное безопасное соединение между лэптопом, на котором установлены SAFE/Examiner, и исследуемой машиной.

Snapshot
Snapshot быстро захватытвает динмаичемкие данные, сообщая полную информацию, что случилсоь в системе в конкретно взятое время.