Configuración de Respond: Configurar un período de retención para alertas e incidentes

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

En ocasiones, los encargados de la privacidad de datos desean conservar datos durante cierto periodo y después eliminarlos. Un periodo de retención más breve libera espacio en disco antes. En algunos casos, el periodo de retención debe ser breve. Por ejemplo, las leyes de Europa establecen que los datos confidenciales no se pueden conservar durante más de 30 días. Después de 30 días, los datos se deben ocultar o eliminar.

La configuración de un periodo de retención para los datos es un procedimiento opcional. El momento en que NetWitness Respond recibe alertas y crea un incidente determina cuándo comienza la retención. Los períodos de retención varían entre 30 y 365 días. Si configura un periodo de retención, los datos se eliminan de manera definitiva un día después de la finalización del periodo.

La retención se basa en el momento en que NetWitness Respond recibe las alertas y en la hora de creación del incidente.

Precaución: Los datos que se eliminan después del periodo de retención no se pueden recuperar.

Cuando vence el periodo de retención, los siguientes datos se eliminan de manera definitiva:

  • Alertas
  • Incidentes
  • Tareas
  • Entradas del registro

Los registros rastrean la retención y la eliminación manual, de modo que pueda ver lo que se ha eliminado. Puede ver los registros del Servidor de Respond en las siguientes ubicaciones:

  • Registro de servicio de Servidor de Respond: /var/log/netwitness/respond-server/respond-server.log
  • Registro de auditoría de Servidor de Respond: /var/log/netwitness/respond-server/respond-server.audit.log

El período de retención de datos que configuró aquí no se aplica a Archer ni a otras herramientas de SOC de otros fabricantes. Las alertas y los incidentes de otros sistemas se deben eliminar por separado.

Requisitos previos

Se le debe asignar la función de administrador.

Procedimiento

  1. Vaya a ADMIN > Servicios, seleccione Servicio servidor de Respond y elija Ícono Acciones > Ver > Explorar.
  2. En la lista de nodos de la vista Explorar, seleccione respond/dataretention.
    Vista Explorar del servidor de Respond que muestra la configuración para Retención de datos
  3. En el campo habilitado, seleccione verdadero para eliminar las alertas y los incidentes más antiguos que el período de retención.
    El programador se ejecuta cada 24 horas a las 23:00 h.
    Verá un aviso que indica que la configuración se actualizó correctamente.
  4. En el campo retention-period, escriba la cantidad de días que se conservarán los incidentes y las alertas. Por ejemplo, escriba 30 DÍAS, 60 DÍAS, 90 DÍAS, 120 DÍAS, 365 DÍAS o cualquier cantidad de días.
    Verá un aviso que indica que la configuración se actualizó correctamente.

Resultado

24 horas después del fin del período de retención, el programador elimina de manera definitiva de NetWitness Respond todas las alertas y los incidentes más antiguos que el período especificado. Las entradas del registro y las tareas de corrección asociadas a los incidentes eliminados también se eliminan.

You are here
Table of Contents > Procedimientos adicionales para la configuración de Respond > Configurar un período de retención para alertas e incidentes

Attachments

    Outcomes