Configuration de Respond : Définir une période de rétention pour les alertes et les incidents

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Parfois, les responsables de la confidentialité des données souhaitent conserver les données sur une période donnée, puis les supprimer. Une période de rétention réduite libère plus rapidement de l'espace sur le disque. Parfois, la période de rétention doit être courte. Par exemple, la législation européenne précise que les données confidentielles ne doivent pas être conservées plus de 30 jours. Au-delà de ce délai, les données doivent être occultées ou supprimées.

La définition d'une période de rétention de données est facultative. L'heure à laquelle NetWitness Respond reçoit des alertes et crée un incident détermine le début de la rétention. Les périodes de rétention sont comprises entre 30 et 365 jours. Si vous définissez une telle période, les données sont supprimées définitivement un jour après la fin de la période.

La rétention dépend de l'heure à laquelle NetWitness Respond reçoit les alertes et de l'heure de création de l'incident.

Attention : Les données supprimées après la période de rétention ne peuvent pas être récupérées.

Au terme de cette période, les données suivantes sont supprimées définitivement :

  • Alertes
  • Incidents
  • Tâches
  • Entrées du journal

Les logs analysent la rétention et les suppressions manuelles. Ainsi, vous pouvez voir ce qui a été supprimé. Vous pouvez visualiser les logs Serveur Respond dans les emplacements suivants :

  • Serveur Respond Log des services : /var/log/netwitness/respond-server/respond-server.log
  • Serveur Respond Log des services : /var/log/netwitness/respond-server/respond-server.log

La période de rétention des données que vous définissez ici ne s’applique pas aux outils SOC Archer ou tiers. Les alertes et incidents provenant d’autres systèmes doivent être supprimés séparément.

Conditions préalables

Le rôle Administrateur doit vous être attribué.

Procédure

  1. Accédez à ADMIN > Services, sélectionnez le service Service du serveur Respond et cliquez sur Icône Actions > Vue > Explorer.
  2. Dans la liste des nœuds de la vue Explorer, sélectionnez respond/dataretention.
    Vue Explorer du serveur de réponse affichant les paramètres de rétention de données
  3. Dans le champ activé, sélectionnez true pour supprimer les incidents et les alertes dont l’ancienneté est supérieure à la période de rétention.
    Le planificateur est exécuté tous les jours à 23 h 00.
    Un avis s’affiche indiquant que la configuration a été mise à jour correctement.
  4. Dans le champ période de rétention, indiquez le nombre de jours de conservation des incidents et alertes. Par exemple, saisissez 30 JOURS, 60 JOURS, 90 JOURS, 120 JOURS, 365 JOURS ou un autre nombre de jours.
    Un avis s’affiche indiquant que la configuration a été mise à jour correctement.

Résultat

Dans les 24 heures suivant la fin de la période de rétention, le planificateur supprime définitivement les alertes et les incidents antérieurs à la période spécifiée dans NetWitness Respond. Les entrées des journaux et les tâches associées aux incidents supprimés sont également supprimées.

You are here
Table of Contents > Procédures supplémentaires pour la configuration de Respond > Définir une période de rétention pour les alertes et les incidents

Attachments

    Outcomes