Gestion des incidents : Définir une période de rétention pour les alertes et les incidents

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Parfois, les responsables de la confidentialité des données souhaitent conserver les données sur une période donnée, puis les supprimer. Une période de rétention réduite libère plus rapidement de l'espace sur le disque. Parfois, la période de rétention doit être courte. Par exemple, la législation européenne précise que les données confidentielles ne doivent pas être conservées plus de 30 jours. Au-delà de ce délai, les données doivent être occultées ou supprimées.

La définition d'une période de rétention de données est facultative. L'heure à laquelle Incident Management reçoit des alertes et crée un incident détermine le début de la rétention. Les périodes de rétention sont comprises entre 30 et 365 jours. Si vous définissez une telle période, les données sont supprimées définitivement un jour après la fin de la période.

La rétention dépend de l'heure à laquelle IM reçoit les alertes et de l'heure de création de l'incident.

Attention : Les données supprimées après la période de rétention ne peuvent pas être récupérées.

Au terme de cette période, les données suivantes sont supprimées définitivement :

  • Alertes
  • Incidents
  • Tâches de remédiation
  • Entrées du journal
  • Pièces jointes aux éléments précédents

Les logs analysent la rétention et les suppressions manuelles. Ainsi, vous pouvez voir ce qui a été supprimé. Pour voir im.log, cliquez sur Administration > Services. Sélectionnez un service Incident Management, puis cliquez sur Vue > Logs. Pour afficher les logs d'audit, accédez à  /opt/rsa/im/logs sur le serveur Security Analytics.

Cette fonction ne s'applique pas à Archer ni aux autres outils SOC tiers. Les alertes et les incidents provenant d'autres systèmes doivent être supprimés de manière séparée.

Conditions préalables

Le rôle Administrateur doit vous être attribué.

Procédure

  1. Dans le menu Security Analytics, sélectionnez Incidents >Configurer.
    Dans le panneau Configurer qui s'affiche, l'onglet Règles d'agrégation est ouvert.
  2. Cliquez sur l’onglet Planificateur de rétention.

  3. Sélectionnez Activer le planificateur de rétention des données pour supprimer les alertes et les incidents antérieurs à la période de rétention.
    Le planificateur est exécuté tous les jours à 23 h 00.
  4. Dans le champ Conserver les alertes et incidents pendant, sélectionnez 30, 60, 90, 120 ou 365 jours, ou saisissez un nombre.
  5. Cliquez sur Apply.

Résultat

Dans les 24 heures suivant la fin de la période de rétention, le planificateur supprime définitivement les alertes et les incidents antérieurs à la période spécifiée dans le module Incident Management. Les entrées des journaux et les tâches de remédiation associées aux incidents supprimés sont également supprimées.

You are here
Table of Contents > Automatiser le processus de gestion des incidents > Définir une période de rétention pour les alertes et les incidents

Attachments

    Outcomes