インシデントの管理:アラートとインシデントの保持期間の設定

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

データ プライバシー担当者が、データを一定期間保持した後で削除することを希望する場合があります。保持期間を短くすると、ディスク領域も早く解放されます。保持期間を短くしなければならない場合もあります。たとえば、ヨーロッパの法律では、機微データを30日を超えて保持することはできません。30日後にデータを難読化するか削除しなければなりません。

データの保持期間の設定はオプションの手順です。Incident Managementがアラートを受信してインシデントを作成した時刻が、保持の開始時刻となります。保持期間の範囲は、30日~365日です。保持期間を設定すると、保持期間終了の1日後にデータが永久的に削除されます。

保持は、IMによるアラートの受信とインシデントの作成時刻に基づきます。

注意:保持期間後に削除されたデータはリカバリできません。

保持期間が終了すると、次のデータが永久的に削除されます。

  • Alerts
  • インシデント
  • 改善タスク
  • ジャーナル項目
  • 上記への添付ファイル

データの保持と手動削除はログでトラッキングされるため、削除されたものを確認できます。im.logを表示するには、[Administration]>[サービス]をクリックします。[Incident Management]サービスを選択して、[表示]>[ログ]をクリックします。監査ログを表示するには、Security Analyticsサーバの/opt/rsa/im/logsに移動します。

この機能は、Archerまたはその他のサード パーティのSOCツールには適用されません。他のシステムからのアラートとインシデントは、個別に削除する必要があります。

前提条件

管理者のロールが割り当てられている必要があります。

手順

  1. Security Analyticsメニューで、[インシデント]>[構成]を選択します。
    [統合ルール]タブが開いた状態で[構成]パネルが表示されます。
  2. 保存スケジューラ]タブを選択します。

  3. データ保存スケジューラを有効化する]を選択して、保持期間より古いすべてのインシデントとアラートを削除します。
    スケジューラは、24時間おきの23:00に実行されます。
  4. アラートとインシデントの保存期間]フィールドで、30、60、90、120、365日を選択するか、数字を入力します。
  5. 適用をクリックします。

結果

保持期間の終了後24時間以内に、指定した期間より古いすべてのアラートとインシデントが、インシデント管理モジュールからスケジューラによって永久的に削除されます。削除されたインシデントに関連づけられたジャーナル項目と改善タスクも削除されます。

You are here
Table of Contents > インシデント管理プロセスの自動化 > アラートとインシデントの保持期間の設定

Attachments

    Outcomes