Incident Management: Configurar un periodo de retención para alertas e incidentes

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En ocasiones, los encargados de la privacidad de datos desean conservar datos durante cierto periodo y después eliminarlos. Un periodo de retención más breve libera espacio en disco antes. En algunos casos, el periodo de retención debe ser breve. Por ejemplo, las leyes de Europa establecen que los datos confidenciales no se pueden conservar durante más de 30 días. Después de 30 días, los datos se deben ocultar o eliminar.

La configuración de un periodo de retención para los datos es un procedimiento opcional. El momento en que Incident Management recibe alertas y crea un incidente determina cuándo comienza la retención. Los períodos de retención varían entre 30 y 365 días. Si configura un periodo de retención, los datos se eliminan de manera definitiva un día después de la finalización del periodo.

La retención se basa en el momento en que IM recibe las alertas y en la hora de creación del incidente.

Precaución: Los datos que se eliminan después del periodo de retención no se pueden recuperar.

Cuando vence el periodo de retención, los siguientes datos se eliminan de manera definitiva:

  • Alertas
  • Incidentes
  • Tareas de corrección
  • Entradas del registro
  • Archivos adjuntos para los anteriores

Los registros rastrean la retención y la eliminación manual, de modo que puede ver lo que se eliminó. Para ver im.log, haga clic en Administration > Servicios. Seleccione un servicio de Incident Management y haga clic en Ver > Registros. Para ver registros de auditoría, vaya a /opt/rsa/im/logs en el servidor de Security Analytics.

La función no se aplica a Archer ni a otras herramientas de SOC de otros fabricantes. Las alertas y los incidentes de otros sistemas se deben eliminar por separado.

Requisitos previos

Se le debe asignar la función de administrador.

Procedimiento

  1. En el menú de Security Analytics, seleccione Incidentes > Configurar.
    El panel Configurar se muestra con la pestaña Reglas de agregación abierta.
  2. Seleccione la pestaña Calendarizador de retención.

  3. Seleccione Habilitar el calendarizador de retención de datos para eliminar las alertas y los incidentes más antiguos que el periodo de retención.
    El programador se ejecuta cada 24 horas a las 23:00 h.
  4. En el campo Conservar alertas e incidentes durante, seleccione 30, 60, 90, 120 o 365 días o escriba cualquier número.
  5. Haga clic en Aplicar.

Resultado

24 horas después del fin del periodo de retención, el programador elimina de manera definitiva del módulo Incident Management todas las alertas y los incidentes más antiguos que el periodo especificado. Las entradas del registro y las tareas de corrección asociados a los incidentes eliminados también se eliminan.

You are here
Table of Contents > Automatizar el proceso de administración de incidentes > Configurar un periodo de retención para alertas e incidentes

Attachments

    Outcomes