Privacidad de datos: Configurar retención de datos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Un usuario de Security Analytics con la función de administrador puede configurar Security Analytics para asegurarse de que los datos confidenciales se hayan quitado después de un período de retención específico, sin importar la tasa de recopilación del sistema. Por ejemplo, la política podría tener el objetivo de conservar paquetes (tanto datos crudos como metadatos) durante no más de 24 horas y de conservar algunos registros (tanto datos crudos como metadatos) durante un máximo de siete días. Si los datos confidenciales llegan a otra base de datos en los servidores de Reporting Engine, Malware Analysis Event Stream Analysis y Security Analytics, la retención de datos también se puede administrar ahí. El administrador debe configurar cada servicio individualmente en todos los componentes de Security Analytics (excepto Event Stream Analysis) en función de la política y las leyes relacionadas con la privacidad de datos.

Los datos confidenciales también se pueden almacenar en caché.

  • Los Brokers pueden almacenar datos en caché, los cuales se deben borrar mediante la configuración de una transferencia independiente y de otra forma de eliminación de la caché según sea necesario. El administrador puede configurar la transferencia de la caché para un Broker mediante la edición del archivo Scheduler en la pestaña Archivos de la vista Configuración de servicios.
  • Datos de la caché de Investigation y del servidor de Security Analytics, los cuales se borran automáticamente cada 24 horas.
  • Si el Encargado de la privacidad de datos (DPO) exporta datos, esto equivale a guardarlos en el servidor de Security Analytics en la línea de espera de trabajos. Para borrar estos datos, el administrador o el DPO deben limpiar la línea de espera de trabajos de manera habitual.

Retención de datos

Puede programar un trabajo recurrente para servicios de Decoder, Log Decoder y Concentrator en Security Analytics con el fin de comprobar si los datos están listos para quitarse. El Calendarizador de retención de datos proporciona una manera de configurar la programación básica (consulte a continuación) y también está disponible la configuración avanzada del programador mediante la edición del archivo Scheduler en la pestaña Archivos de la vista Configuración de servicios o en el nodo en la vista Explorador.

El Archiver tiene opciones flexibles de almacenamiento y retención de datos. Puede colocar los diferentes tipos de datos del registro en recopilaciones individuales y administrarlos por separado. Estas recopilaciones le permiten especificar la cantidad de espacio de almacenamiento total para usar y cuántos días para almacenar los registros en la recopilación. También puede determinar si va a eliminar los datos del registro o los va a transferir a un almacenamiento offline inactivo después de alcanzar el máximo especificado en el espacio de almacenamiento para la recopilación.

Por ejemplo, puede poner en una recopilación la información confidencial y configurar una limitación para el plazo que se conservarán como, por ejemplo, 30 días. Para eliminar los datos después de 30 días, el almacenamiento semiactivo o inactivo no se permitiría para esa recopilación. 

Eliminación en comparación con la retención de datos del registro

Los administradores pueden configurar el almacenamiento en niveles activo, semiactivo e inactivo en un Archiver. El almacenamiento inactivo contiene los datos del registro más antiguos que se requieren para la operación del negocio o que exigen los requisitos normativos. Cuando una recopilación llega a sus límites de retención para el almacenamiento activo y semiactivo, Security Analytics elimina los datos del registro desde el almacenamiento activo o semiactivo. Cuando se ha configurado almacenamiento inactivo, se deja una copia en el almacenamiento inactivo antes de que los registros se eliminen del almacenamiento activo o semiactivo. Puede elegir si desea habilitar el almacenamiento inactivo para cada recopilación de almacenamiento de registro. Security Analytics no administra el almacenamiento inactivo. 

Habilitar o deshabilitar el almacenamiento inactivo en una recopilación de almacenamiento de registro

Cuando los datos del registro en una recopilación alcanzan sus límites de retención para el almacenamiento activo y semiactivo, puede eliminarlos o transferirlos al almacenamiento offline (inactivo). 

Para habilitar o deshabilitar el almacenamiento inactivo en una recopilación de almacenamiento de retención de registros en un Archiver:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione el servicio Archiver y elija ic-actns.png > Ver > Configuración.
  3. Haga clic en la pestaña Retención de datos.

    ArcDrTb.png

  4. En la sección Recopilaciones de la pestaña Retención de datos, seleccione una recopilación y haga clic en.

    Se muestra el cuadro de diálogo Recopilación.

    Nota: Si el tamaño máximo de almacenamiento de la recopilación no permite la retención de datos completa durante el período de retención especificado, Security Analytics elimina los datos o pasa al almacenamiento semiactivo o inactivo si se especifica en la recopilación.

  5. Habilite o deshabilite el almacenamiento inactivo:

    • Para eliminar datos del registro cuando la recopilación alcanza su límite de retención especificado, desactive la casilla de verificación Almacenamiento inactivo.
    • Para transferir datos del registro al almacenamiento offline cuando la recopilación alcanza sus límites de retención especificados, seleccione la casilla de verificación Almacenamiento inactivo
  6. Haga clic en Guardar.

Configurar la retención de registros y el almacenamiento en un Archiver

Para configurar el almacenamiento y la retención de registros en un Archiver, consulte el tema Configurar el almacenamiento y la retención de registros de Archiver en la Guía de configuración de Archiver.

Programar un trabajo recurrente para comprobar los umbrales de retención de datos

La configuración del Calendarizador de retención de datos garantiza que los datos que residen en los componentes Decoder, Log Decoder y Concentrator se eliminen después de cierto tiempo. Por ejemplo, la retención de datos en un Decoder se podría configurar de modo que ejecute una comprobación cada 15 minutos con el fin de determinar si se alcanzó el umbral de duración especificado. Si se alcanzó el umbral, Security Analytics elimina los datos que tienen más de 4 horas de las bases de datos pertinentes.

Precaución: El programa sobrescribe cualquier programa anterior y entra en vigor de inmediato. Si se reduce el período de retención, se quitan los datos que superan este período de retención.

Para un Decoder, un Log Decoder o un Concentrator:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio Decoder, Log Decoder o Concentrator y haga clic en  > Ver > Configuración.
  3. Haga clic en la pestaña Calendarizador de retención de datos.

  4. Configure el umbral según la cantidad de tiempo que han estado almacenados los datos o la fecha en la cual se almacenaron. Realice una de las siguientes acciones

    1. Para definir la cantidad de tiempo que pueden estar almacenados los datos antes de la eliminación, seleccione Duración y especifique la cantidad de días (un máximo de 365), horas (un máximo de 24) y minutos (un máximo de 60) que han transcurrido desde el registro de fecha y hora en los datos.
    2. Para definir la eliminación de datos según la fecha del registro de fecha y hora, seleccione Fecha y especifique la fecha y la hora mensuales en los campos Calendario y Hora.
      DateThreshold.png
  5. Realice una de las siguientes acciones para configurar el calendario para comprobar criterios de transferencia:

    1. Si desea configurar un intervalo regular en el cual se produce la comprobación de la base de datos calendarizada, seleccione Intervalo y especifique las Horas y los Minutos entre las comprobaciones calendarizadas.

      RunInterval.png

    2. Si desea configurar una fecha y hora regulares en las cuales se produce la comprobación de la base de datos programada, seleccione Fecha y hora y especifique la hora del reloj del sistema en formato hh:mm:ss para la transferencia.

      • Para especificar el día, seleccione Cada día, Días de la semana o Fines de semana. El programador está configurado de manera predeterminada en Cada día.

        RunDateTim.png
        RunDateTim.png

      • Para especificar otro conjunto de días de la semana, seleccione Personalizada y haga clic en cada día en el cual se producirá la comprobación de la base de datos.

        Precaución: El programa sobrescribe cualquier programa anterior y entra en vigor de inmediato. Si se reduce el período de retención, se quitan los datos que superan este período de retención.

  6. Haga clic en Aplicar para completar la configuración.
You are here
Table of Contents > Procedimientos detallados > Configurar retención de datos

Attachments

    Outcomes