Respondの構成:アラートとインシデントの保持期間の設定

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

データ プライバシー担当者が、データを一定期間保持した後で削除することを希望する場合があります。保持期間を短くすると、ディスク領域も早く解放されます。保持期間を短くしなければならない場合もあります。たとえば、ヨーロッパの法律では、機微データを30日を超えて保持することはできません。30日後にデータを難読化するか削除しなければなりません。

データの保持期間の設定はオプションの手順です。NetWitness Respondがアラートを受信してインシデントを作成した時刻が、保存の開始時となります。保存期間の範囲は、30日~365日です。保持期間を設定すると、保持期間終了の1日後にデータが永久的に削除されます。

保持は、NetWitness Respondによるアラートの受信とインシデントの作成時刻に基づきます。

注意:保持期間後に削除されたデータはリカバリできません。

保持期間が終了すると、次のデータが永久的に削除されます。

  • アラート
  • インシデント
  • タスク
  • ジャーナル項目

ログは保存と手動削除を追跡するため、削除した内容を確認できます。Respond Serverログは次の場所で確認できます。

  • Respond Serverサービス ログ:/var/log/netwitness/respond-server/respond-server.log
  • Respond Server監査ログ:/var/log/netwitness/respond-server/respond-server.audit.log

ここで設定した保存期間は、Archerまたはその他のサード パーティのSOCツールには適用されません。他のシステムからのアラートとインシデントは、個別に削除する必要があります。

前提条件

管理者のロールが割り当てられている必要があります。

手順

  1. [管理]>[サービス]に移動してRespond Serverサービスを選択し、[アクション]アイコン >[表示]>[エクスプローラ]を選択します。
  2. [エクスプローラ]ビューのノード リストで[respond/dataretention]を選択します。
    データ保存の設定を表示するRespondサーバの[エクスプローラ]ビュー
  3. 有効化]フィールドで[true]を選択し、保存期間より古いインシデントとアラートを削除します。
    スケジューラは、24時間おきに23:00に実行されます。
    構成が正常に更新されたことを示す通知が表示されます。
  4. 保存期間]フィールドにインシデントとアラートを保持する日数を入力します。たとえば、30 日、60 日、90 日、120 日、365 日、または任意の日数を入力します。
    構成が正常に更新されたことを示す通知が表示されます。

結果

保存期間の終了後24時間以内に、指定した期間より古いすべてのアラートとインシデントが、NetWitness Respondからスケジューラによって永久的に削除されます。削除されたインシデントに関連づけられたジャーナル項目とタスクも削除されます。

You are here
Table of Contents > Respondの構成のための追加の手順 > アラートとインシデントの保持期間の設定

Attachments

    Outcomes