データ プライバシー:データ保存期間の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

Administratorのロールを持つSecurity Analyticsユーザーは、システムの取得レートに関係なく、特定の保存期間の経過後に機微データが削除されるようにSecurity Analyticsを構成できます。たとえば、そのポリシーとしては、パケット(rawデータとメタ データの両方)を24時間だけ保持することや、ログ(rawデータとメタデータの両方)を7日間まで保持することが考えられます。機微データが、Reporting Engine、Malware Analysis、Event Stream Analysis、Security Analyticsサーバの他のデータベースに送られた場合も、そこで同じようにデータ保存を管理できます。管理者は、ポリシーとデータ プライバシー法規制に基づき、すべてのSecurity Analyticsコンポーネント(Event Stream Analysisを除く)のサービスを個別に設定する必要があります。

機微データはキャッシュにも存在する可能性があります。

  • Brokerはデータをキャッシュする場合があり、これをクリアするために、必要に応じて、単独のロールオーバーやその他のキャッシュ削除を構成する必要があります。管理者は、[サービス]の[構成]ビューの[ファイル]タブでschedulerファイルを編集することにより、Brokerのキャッシュ ロールオーバーを構成できます。
  • InvestigationおよびSecurity Analyticsサーバのキャッシュ データ。これは、24時間ごとに自動的にクリアされます。
  • DPOがデータをエクスポートする場合、Security Analyticsサーバのジョブ キュー内にデータを保存するのと同じことになります。このデータをクリアするには、管理者またはDPOが定期的にジョブ キューをクリーンアップする必要があります。

データ保存

Security AnalyticsのDecoder、Log Decoder、Concentratorサービスでは、定期的なジョブをスケジュールし、削除可能なデータがあるかどうかを確認することができます。データ保存スケジューラは基本的なスケジュール設定機能を提供します(以下を参照)。また、[サービス]の[構成]ビューの[ファイル]タブでschedulerファイルを編集するか、または[エクスプローラ]ビューでノードを編集することにより、高度なスケジュール設定を行うこともできます。

Archiverは、柔軟性の高いデータ保存オプションを提供します。異なるタイプのログ データを別々のコレクションに配置し、個別に管理できます。各コレクションには、全体のストレージ容量と、コレクション内にログ データを保存する日数を指定できます。また、ログ データがコレクションのストレージ容量の上限に達した後に、ログ データを削除するか、オフラインのColdストレージに移動するかを選択できます。

たとえば、機微情報をコレクションに格納し、保存期間を30日間に制限することができます。30日後にデータを削除する場合は、そのコレクションのWarmストレージまたはColdストレージを有効化する必要はありません。 

ログ データの保持と削除

管理者はArchiverにHot、Warm、Coldという階層型ストレージを構成することができます。Coldストレージには、最も古いログ データが格納されます。これらのデータは、業務に必要であったり、規制要件により義務づけられている場合に保持します。コレクションがHotストレージおよびWarmストレージの保存期限に達すると、Security AnalyticsによってHotストレージまたはWarmストレージからログ データが削除されます。Coldストレージが構成されている場合は、ログ データがHotストレージまたはWarmストレージから削除される前に、Coldストレージにコピーされます。コレクションごとに、Coldストレージを有効化するかどうかを選択できます。Security AnalyticsではColdストレージは管理されません。 

コレクションのColdストレージの有効化または無効化

コレクション内のログ データがHotストレージおよびWarmストレージの保存期限に達したときに、これを削除するか、オフライン(Cold)ストレージに移動させることができます。 

ArchiverのコレクションでColdストレージを有効化または無効化するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。
  3. データ保存]タブをクリックします。

    ArcDrTb.png

  4. [データ保存]タブの[コレクション]セクションで、コレクションを選択してをクリックします。

    [コレクション]ダイアログが表示されます。

    注:コレクションの最大ストレージ サイズが足りず、指定した保存期間いっぱいまでのデータを格納できなくなった場合は、Security Analyticsによってデータが削除されるか、指定されている場合は、WarmストレージまたはColdストレージにデータが移動されます。

  5. Coldストレージを有効化または無効化するには、次の手順を実行します。

    • コレクションが指定した保存期限に達したときにログ データを削除するには、[Coldストレージ]チェック ボックスをオフにします。
    • コレクションが指定した保存期限に達したときにログ データをオフライン ストレージに移動させるには、[Coldストレージ]チェックボックスをオンにします。 
  6. Saveをクリックします。

Archiverでのログの保存期間とストレージの構成

Archiverでのログの保存期間とストレージを構成するには、「Archiver構成ガイド」の「Archiverのストレージとログの保存期間の構成」を参照してください。

データ保存期間の閾値をチェックする繰り返しジョブのスケジュール

データ保存スケジューラを構成することにより、一定の期間が経過したデータをDecoder、Log Decoder、Concentratorコンポーネントから削除することができます。たとえば、指定した保存期間の閾値に達したデータがないかを15分ごとに確認するようDecoderを構成できます。閾値に達している場合、Security Analyticsは、関連するデータベースから4時間より前のデータを削除します。

注意:以前のスケジュールは上書きされ、新しいスケジュールがすぐに有効になります。保存期間を短縮すると、この保存期間を超過しているデータは削除されます。

Decoder、Log Decoder、Concentratorの場合は次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Decoder、Log Decoder、またはConcentratorサービスを選択し、[表示]>[構成]を選択します。
  3. データ保存スケジューラ]タブをクリックします。

  4. データが保存されている期間またはデータが保存された日付に基づいて閾値を設定します。次のいずれかを実行します。

    1. データを削除するまでの保存期間を定義するには、[期間]を選択し、データのタイム スタンプから経過した日数(最大365)、時間(最大24)、分(最大60)を指定します。
    2. タイム スタンプの日付に基づいてデータの削除を定義するには、[日付]を選択し、[カレンダー]および[時刻]フィールドから毎月の日時を指定します。
      DateThreshold.png
  5. 次のいずれかを実行して、ロールオーバー基準の確認スケジュールを構成します。

    1. 一定の間隔を指定して、定期的なデータベース チェックを実行する場合は、[間隔]を選択し、次のチェックまでの間隔を、時間で指定します。

      RunInterval.png

    2. 一定の日付を指定して定期的なデータベース チェックを実行する場合は、[日付と時刻]を選択し、ロールオーバーを実行するシステム クロックの時刻をhh:mm:ss形式で指定します。

      • 日付を指定するには、[毎日]、[平日]、[週末]のいずれかを選択します。スケジューラの設定はデフォルトで[毎日]になっています。

        RunDateTim.png
        RunDateTim.png

      • 曜日を個別に指定するには、[カスタム]を選択し、データベース チェックを実行する曜日をクリックします。

        注意:以前のスケジュールは上書きされ、新しいスケジュールがすぐに有効になります。保存期間を短縮すると、この保存期間を超過しているデータは削除されます。

  6. 適用]をクリックして構成を完了します。
You are here
Table of Contents > 詳細な手順 > データ保存期間の構成

Attachments

    Outcomes