Archiver: Paso 3. Configurar el almacenamiento y la retención de registros de Archiver

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones a los administradores para configurar el almacenamiento y la retención de registros en un Archiver.

Por motivos de cumplimiento de normas, suele ser necesario conservar algunos registros durante más tiempo que otros. Algunos registros son confidenciales desde el punto de vista legal y no se pueden conservar durante un período prolongado. Para otros registros existe el requisito de conservación durante años. Además del cumplimiento de normas, algunos registros son útiles para análisis forense histórico y otros tienen un valor pertinente mínimo o nulo en materia de seguridad u operacional, y se pueden eliminar después de un período breve.

Debido a que los requisitos de negocios varían, Security Analytics permite configurar recopilaciones, las cuales son conjuntos de retención de registros para almacenar datos del registro. Para cada recopilación, puede especificar la cantidad de espacio de almacenamiento total que se usará y los días durante los cuales se conservarán los registros en la recopilación. Para especificar el tipo de registros que se guardan en la recopilación, debe definir reglas de retención que se asocian con las recopilaciones. Las reglas de retención para todas las recopilaciones se ejecutan secuencialmente en un orden que usted define.

Para esto, primero debe definir el espacio de almacenamiento físico total para las recopilaciones. Security Analytics permite definir tres tipos de almacenamiento:

  • Nivel de almacenamiento activo: Este almacenamiento contiene datos del registro que están en uso activo como parte del proceso de negocios. Los usuarios pueden acceder a estos registros con mayor rapidez que otros tipos de almacenamiento y pueden utilizarlos para la creación de informes y otras tareas. El almacenamiento activo suele ser almacenamiento de capacidad de conexión directa (DAC) o SAN.  
  • Nivel de almacenamiento semiactivo: (Opcional) Este almacenamiento contiene datos del registro más antiguos que agrega el Archiver. El acceso a los datos del registro es más lento que en el almacenamiento activo. Los usuarios también pueden utilizar estos registros para la creación de informes y otras tareas. El almacenamiento semiactivo suele ser almacenamiento conectado en red (NAS). 
  • Nivel de almacenamiento inactivo: (Opcional) Este almacenamiento contiene los datos del registro más antiguos que se requieren para la operación del negocio o que exigen los requisitos normativos. Los registros están offline y Archiver no puede acceder a ellos para la creación de informes y otras tareas. Sin embargo, si desea acceder a estos datos del registro, puede restaurarlos a las recopilaciones creadas en el servicio Workbench y usarlos posteriormente para la creación de informes. El almacenamiento inactivo suele ser almacenamiento offline, como NAS, o almacenamiento temporal antes del archiving en cintas. Una vez que los datos se transfieren al nivel inactivo, Archiver deja de administrarlos. Cuando se transfieren, procesos externos se encargan de respaldarlos o de administrar ese espacio del nivel inactivo de modo que no alcance el 100 % de la capacidad. Si se alcanza la capacidad, Archiver detiene la agregación hasta que se resuelve el problema.

Los Archivers están preconfigurados para utilizar el almacenamiento activo disponible y una recopilación de registros predeterminada, de modo que no es necesario configurar el almacenamiento ni la retención de registros del Archiver si no se tienen requisitos de retención de registros complejos.

Los registros se pueden transferir de un tipo de almacenamiento a otro de las siguientes maneras:

  • Almacenamiento activo > Almacenamiento inactivo
  • Almacenamiento activo > Almacenamiento semiactivo > Almacenamiento inactivo

HWCstorage.png

Cuando una recopilación llega a sus límites de retención para el almacenamiento activo y semiactivo, Security Analytics elimina los datos del registro desde el almacenamiento activo o semiactivo. Cuando se ha configurado almacenamiento inactivo, se deja una copia en el almacenamiento inactivo antes de que los registros se eliminen del almacenamiento activo o semiactivo.  Por ejemplo, si tiene una recopilación con almacenamiento activo de 1 TB, almacenamiento semiactivo de 1 TB y almacenamiento inactivo habilitado, cuando los datos del registro alcanzan 1 TB de almacenamiento activo, los más antiguos se transfieren al almacenamiento semiactivo. Cuando los datos del registro en el almacenamiento semiactivo alcanzan 1 TB, los más antiguos se copian del almacenamiento semiactivo al inactivo antes de quitarse del almacenamiento semiactivo. 

En el caso del almacenamiento activo y semiactivo, los ajustes del tamaño y el período de retención para una recopilación pueden reemplazarse mutuamente en función del criterio que se cumple primero (tamaño o tiempo). Por ejemplo, si tiene una recopilación con almacenamiento activo de 1 TB, sin almacenamiento semiactivo o inactivo y con un período de retención de 20 días, y los datos del registro superan 1 TB después de 11 días, los registros más antiguos por sobre 1 TB se eliminarán aunque la recopilación tenga un período de retención de 20 días.

Después de crear almacenamiento activo, semiactivo e inactivo, debe configurar recopilaciones de almacenamiento de retención de registros. Puede especificar el tamaño máximo del almacenamiento activo y semiactivo para la recopilación, si desea usar almacenamiento inactivo, la cantidad de días que se conservarán los registros en la recopilación, la compresión de datos y si desea usar un algoritmo hash para poder verificar la integridad de los datos de los archivos que se guardan.

Después de configurar las recopilaciones, debe definir reglas de retención para la recopilación. Estas reglas especifican el tipo de registros que se almacenarán en la recopilación. Cada recopilación debe tener al menos una regla de retención asociada para almacenar datos del registro.

Procedimiento

Realice las siguientes tareas en el orden que se muestra para configurar el almacenamiento y la retención de registros.

                       
TareaReferencia
1. Configurar el almacenamiento activo, semiactivo e inactivo total. Consulte Configurar el almacenamiento activo, semiactivo e inactivo.
2. Configurar recopilaciones de almacenamiento de retención de registros. Consulte Configurar recopilaciones de almacenamiento de registros.
3. Definir reglas de retención para las recopilaciones y determinar el orden de ejecución de la lista general de reglas de retención. Consulte Definir reglas de retención.
You are here
Table of Contents > Configurar Archiver > Paso 3. Configurar el almacenamiento y la retención de registros de Archiver

Attachments

    Outcomes