Confidentialité des données : Configurer la rétention de données

Document created by RSA Information Design and Development on Feb 8, 2017
Version 1Show Document
  • View in full screen mode
  

Un utilisateur Security Analytics avec le rôle d'administrateur peut configurer Security Analytics pour garantir que les données sensibles sont bien supprimées après une période de rétention spécifique, quel que soit la fréquence de réception du système. Par exemple, la politique peut être de conserver les paquets (données et métadonnées brutes) pour 24 heures uniquement, et de conserver les logs (données et métadonnées brutes) pour un maximum de sept jours. Si des données sensibles se retrouvent dans une autre base de données des serveurs Reporting Engine, Malware Analysis, Event Stream Analysis et Security Analytics, la rétention de données peut aussi s'appliquer à ces emplacements. L'administrateur doit configurer chaque service individuellement pour tous les composants Security Analytics (sauf Event Stream Analysis) en fonction de la politique et de la réglementation sur la confidentialité des données.

Les données sensibles peuvent également se trouver dans la mémoire cache.

  • Les Brokers peuvent mettre les données en cache mais celui-ci doit être vidé en configurant un transfert indépendant et d'autres suppressions de cache si nécessaire. L'administrateur peut configurer le transfert de cache pour un Broker en modifiant le fichier du planificateur dans la vue Configuration des services - onglet Fichiers.
  • Les données de cache du serveur Security Analytics et du service Investigation sont vidées automatiquement toutes les 24 heures.
  • Si le responsable de la confidentialité des données exporte des données, cette opération est identique à l'enregistrement des données sur le serveur Security Analytics dans la file d'attente des tâches. Pour effacer ces données, l'administrateur ou le responsable de la confidentialité des données doit régulièrement nettoyer la file d'attente des tâches.

Rétention de données

Vous pouvez planifier une tâche récurrente pour les services Decoder, Log Decoder et Concentrator dans Security Analytics pour vérifier si les données sont prêtes à être supprimées. Le planificateur de rétention des données permet de configurer la planification de base, et les paramètres avancés du planificateur sont toujours disponibles en modifiant le fichier du planificateur dans la vue Configuration des services sous l'onglet Fichier ou le nœud de la vue Explorer.

Le service Archiver fournit des options flexibles de stockage et de rétention des données. Vous pouvez placer différents types de données de log dans des collections individuelles et les gérer séparément. Ces collections vous permettent de spécifier la quantité d'espace de stockage total à utiliser et le nombre de jours de stockage des logs dans la collection. Vous pouvez également déterminer si vous souhaitez supprimer les données du log ou les déplacer vers un stockage hors ligne à froid après avoir atteint l'espace de stockage maximal spécifié pour la collection.

Ainsi, vous pouvez placer des informations sensibles dans une collection et configurer une limitation de la durée de conservation à 30 jours, par exemple. Pour supprimer les données après 30 jours, inutile d'activer le stockage à chaud ou à froid pour cette collection. 

Comparaison entre la suppression et la rétention de données de log

Les administrateurs peuvent configurer un stockage hiérarchisé (niveau intensif, niveau à chaud et niveau à froid) sur un service Archiver. Le stockage à froid contient les données les plus anciennes qui sont, soit requises pour le fonctionnement de l'activité, soit mandatées par des exigences réglementaires. Lorsqu'une collection atteint ses limites de rétention pour le stockage intensif et à chaud, Security Analytics supprime les données du log de stockage intensif ou à chaud. Si le stockage à froid est configuré, une copie est placée dans le stockage à froid avant que les logs ne soient supprimés du stockage intensif ou du stockage à chaud. Vous pouvez choisir d'activer le stockage à froid pour chaque collection de stockage des logs. Security Analytics ne gère pas le stockage à froid (des données inactives). 

Activer ou désactiver le stockage à froid dans une collection de stockage de logs

Lorsque les données de log d'une collection atteignent les limites de rétention pour le stockage intensif et à chaud, vous pouvez les supprimer ou les déplacer vers un stockage hors ligne (à froid). 

Pour activer ou désactiver le stockage à froid dans une collection de stockage de rétention des logs sur un service Archiver :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez le service Archiver, puis ic-actns.png > Vue > Config.
  3. Cliquez sur l'onglet Rétention de données.

    ArcDrTb.png

  4. Dans la section Collections de l'onglet Rétention de données, sélectionnez une collection, puis cliquez sur .

    La boîte de dialogue Collection s'affiche.

    Remarque : Si la taille de stockage maximale de la collection ne permet pas la rétention de données complètes pour la période de rétention spécifiée, Security Analytics supprime les données ou les déplace vers le stockage à chaud ou le stockage à froid, si spécifié dans la collection.

  5. Activer ou désactiver le stockage à froid :

    • Pour supprimer les données des logs lorsque la collection atteint ses limites de rétention spécifiées, désactivez la case à cocher Stockage à froid.
    • Pour déplacer les données de log vers le stockage hors ligne lorsque la collection atteint ses limites de rétention spécifiées, activez la case à cocher Stockage à froid
  6. Cliquez sur Save.

Configurer la rétention et le stockage des logs sur un service Archiver

Pour configurer la rétention et le stockage des logs sur un service Archiver, reportez-vous à la section Configurer le stockage et la rétention des logs Archiver dans le Guide de configuration d'Archiver.

Planifier une tâche récurrente pour vérifier les seuils de rétention des données

La configuration du planificateur de rétention des données garantit que les données résidant dans les composants Decoder, Log Decoder et Concentrator sont supprimées après un certain temps. Par exemple, la rétention de données sur un service Decoder peut être configuré pour vérifier toutes les 15 minutes si le seuil de durée spécifié est atteint. Si le seuil est atteint, Security Analytics supprime les données antérieures à 4 heures dans les bases de données applicables.

Attention : Le planning remplace le planning précédent et prend effet immédiatement. Si la période de rétention est réduite, les données dépassant cette période de rétention sont supprimées.

Pour un Decoder, Log Decoder ou Concentrator :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Decoder, Log Decoder ou Concentrator, puis cliquez sur > Vue > Config.
  3. Cliquez sur l'onglet Planificateur de rétention des données.

  4. Définissez le seuil basé sur la période de stockage des données ou la date à laquelle les données ont été stockées. Exécutez l'une des opérations suivantes :

    1. Pour définir la durée pendant laquelle les données peuvent être stockées avant leur suppression, sélectionnez le paramètre Durée, puis spécifiez le nombre de jours (365  au maximum), d'heures (24 au maximum) et de minutes (60 au maximum) qui se sont écoulés depuis l'horodatage des données.
    2. Pour définir la suppression des données basée sur la date de l'horodatage, sélectionnez le paramètre Date, puis spécifiez la date et l'heure du mois dans les champs Calendrier et Heure.
      DateThreshold.png
  5. Effectuez l'une des opérations suivantes pour configurer le planning de vérification des critères de déploiement :

    1. Si vous souhaitez définir un intervalle régulier au cours duquel la vérification de la base de données planifiée se produit, sélectionnez le paramètre Intervalle et précisez les heures et les minutes entre les contrôles réguliers.

      RunInterval.png

    2. Si vous souhaitez définir une date et une heure régulières auxquelles la vérification de la base de données planifiée se produit, sélectionnez le paramètre Date et heure et spécifiez l'heure de l'horloge système au format hh:mm:ss pour le transfert.

      • Pour spécifier le jour, sélectionnez Tous les jours, Jours de la semaine ou Week-end. Par défaut, le planificateur définit le paramètre Tous les jours.

        RunDateTim.png
        RunDateTim.png

      • Pour spécifier une autre série de jours de la semaine, sélectionnez Personnalisé et cliquez sur chaque jour où le contrôle de la base de données se produit.

        Attention : Le planning remplace le planning précédent et prend effet immédiatement. Si la période de rétention est réduite, les données dépassant cette période de rétention sont supprimées.

  6. Cliquez sur Appliquer pour terminer la configuration.
You are here
Table of Contents > Procédures détaillées > Configurer la rétention de données

Attachments

    Outcomes