Datenschutz: Konfigurieren der Datenaufbewahrung

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Ein NetWitness Suite-Benutzer mit Administratorrolle kann NetWitness Suite so konfigurieren, dass sensible Daten unabhängig von der Datenaufnahmerate des Systems nach einer bestimmten Aufbewahrungsfrist gelöscht werden. Beispiel: Als Richtlinie könnte festgelegt werden, dass Pakete (sowohl Roh- als auch Metadaten) nicht länger als 24 Stunden und einige Protokolle (sowohl Roh- als auch Metadaten) bis zu 7 Tage lang aufbewahrt werden. Falls sensible Daten in andere Datenbanken auf den Reporting Engine-, Malware Analysis-, Event Stream Analysis-Servern und NetWitness-Server gelangen, kann die Datenaufbewahrung dort ebenfalls verwaltet werden. Der Administrator muss jeden Service basierend auf Richtlinien und Datenschutzgesetzen einzeln für alle NetWitness Suite-Komponenten (außer Event Stream Analysis) einrichten.

Sensible Daten können sich auch im Cache befinden.

  • Brokers können Dateien zwischenspeichern. Hier muss eine Löschung durch Konfiguration eines individuellen Rollover und anderer Entfernungsmaßnahmen aus dem Cache erfolgen. Der Administrator kann den Cache-Rollover für einen Broker mithilfe der Planerdatei in der Registerkarte „Dateien“ der Ansicht „Service-Konfiguration“ konfigurieren.
  • Investigation und NetWitness-Server speichern Daten im Cache. Diese werden automatisch alle 24 Stunden gelöscht.
  • Wenn der Datenschutzbeauftragte Daten exportiert, entspricht dies dem Speichern von Daten in der Jobwarteschlange auf dem NetWitness-Server. Zum Löschen dieser Daten muss der Administrator oder DPO die Jobwarteschlange regelmäßig löschen.

Datenaufbewahrung

Sie können einen wiederkehrenden Job für Decoder-, Log Decoder- und Concentrator-Services in NetWitness Suite planen, um zu überprüfen, ob die Daten bereit für die Löschung sind. Der Datenaufbewahrungsplaner bietet eine Möglichkeit zur Konfiguration der grundlegenden Planung (siehe unten). Die erweiterten Planereinstellungen stehen ebenfalls durch Bearbeitung der Planerdatei in der Registerkarte „Datei“ der Ansicht „Service-Konfiguration“ oder im Node in der Explorer-Ansicht zur Verfügung.

Der Archiver verfügt über flexible Optionen zur Datenspeicherung und -aufbewahrung. Sie können unterschiedliche Arten von Protokolldaten in einzelnen Sammlungen ablegen und diese individuell managen. Diese Sammlungen ermöglichen es Ihnen festzulegen, wie viel des gesamten Speicherplatzes verwendet werden soll und wie viele Tage die Protokolle in der Sammlung gespeichert werden sollen. Sie können außerdem bestimmen, ob die Protokolldaten gelöscht oder in den Cold-Offlinespeicher verschoben werden sollen, nachdem der für die Sammlung maximal festgelegte Speicherplatz erreicht wurde.

Beispielsweise können Sie sensible Daten in einer Sammlung ablegen und eine Beschränkung für die Speicherdauer konfigurieren, z. B. 30 Tage. Aktivieren Sie nicht den Warm- oder Cold-Speicher für diese Sammlung, um die Daten nach 30 Tagen zu löschen. 

Vergleich zwischen Löschen und Aufbewahren von Protokolldaten

Administratoren können Hot-, Warm- und Cold-Tiered-Storage auf einem Archiver konfigurieren. Der Cold-Speicher enthält die ältesten Daten, die entweder für den Betrieb des Unternehmens benötigt werden oder für behördliche Auflagen erforderlich sind. Wenn eine Sammlung die Aufbewahrungsfristen für Hot- und Warm-Speicher erreicht hat, löscht NetWitness Suite die Protokolldaten aus diesen Speichern. Wenn ein Cold-Speicher konfiguriert wurde, wird eine Kopie darin abgelegt, bevor die Protokolle aus dem Hot- oder Warm-Speicher gelöscht werden. Sie können auswählen, ob der Cold-Speicher für jede Protokollspeichersammlung aktiviert werden soll. Cold-Speicher werden von NetWitness Suite nicht gemanagt. 

Aktivieren oder Deaktivieren des Cold-Speichers in einer Protokollspeichersammlung

Wenn Protokolldaten in einer Sammlung die Aufbewahrungsfristen für Hot- und Warm-Speicher erreicht haben, können Sie sie löschen oder in den Offlinespeicher (Cold-Speicher) verschieben. 

So aktivieren oder deaktivieren Sie den Cold-Speicher in einer Protokollspeichersammlung auf einem Archiver:

  1. Wählen Sie im Abschnitt Admin die Ansicht Services aus.
  2. Wählen Sie einen Archiver-Service und dann Aktionsschaltfläche > Ansicht > Konfiguration aus.
  3. Klicken Sie auf die Registerkarte Datenaufbewahrung.

    Archiver – Registerkarte „Datenaufbewahrung“

  4. Wählen Sie im Abschnitt Sammlungen der Registerkarte „Datenaufbewahrung“ eine Sammlung aus und klicken Sie auf Bearbeiten-Symbol.

    Das Dialogfeld „Sammlung“ wird angezeigt.

    Dialogfeld „Sammlung“

    Hinweis: Wenn die maximale Speichergröße der Sammlung keine komplette Datenaufbewahrung für die festgelegte Aufbewahrungsfrist zulässt, werden die Daten von NetWitness Suite gelöscht oder in den Warm- oder Cold-Speicher verschoben, sofern dies in der Sammlung angegeben ist.

  5. Aktivieren oder deaktivieren Sie Cold-Speicher:

    • Deaktivieren Sie das Kontrollkästchen Cold-Speicher, um Protokolldaten zu löschen, wenn die Sammlung die festgelegten Aufbewahrungsfristen erreicht hat.
    • Aktivieren Sie das Kontrollkästchen Cold-Speicher, um Protokolldaten in einen Offlinespeicher zu verschieben, wenn die Sammlung die angegebenen Aufbewahrungsfristen erreicht hat. 
  6. Klicken Sie auf Speichern.

Konfigurieren der Protokollaufbewahrung und -speicherung auf einem Archiver

Weitere Informationen über die Protokollaufbewahrung und -speicherung auf einem Archiver finden Sie unter Konfigurieren des Archiver-Speichers und der Protokollaufbewahrung im Konfigurationsleitfaden Archiver.

Planen eines wiederkehrenden Jobs zum Überprüfen der Datenaufbewahrungsfristen

Durch die Konfiguration des Datenaufbewahrungsplaners wird sichergestellt, dass die Daten, die sich auf den Komponenten Decoder, Log Decoder und Concentrator befinden, nach einer bestimmten Zeit gelöscht werden. Beispiel: Die Datenaufbewahrung auf einem Decoder kann so konfiguriert werden, dass alle 15 Minuten überprüft wird, ob der festgelegte Schwellenwert für die Aufbewahrungsdauer erreicht wurde. Wenn der Schwellenwert erreicht wurde, löscht NetWitness Suite Daten, die älter als 4 Stunden sind, aus den entsprechenden Datenbanken.

Achtung: Der Plan überschreibt alle vorherigen Pläne und wird sofort wirksam. Wenn die Aufbewahrungsfrist verringert wird, werden die Daten entfernt, die diese Aufbewahrungsfrist überschreiten.

Für einen Decoder, Log Decoder oder Concentrator:

  1. Wählen Sie im Abschnitt Admin die Ansicht Services aus.
  2. Wählen Sie im Raster Services einen Decoder-, Log Decoder- oder Concentrator-Service und dann Aktionsschaltfläche > Ansicht > Konfiguration aus.
  3. Klicken Sie auf die Registerkarte Datenaufbewahrungsplaner.

    Registerkarte „Datenaufbewahrungsplaner“

  4. Legen Sie den Schwellenwert basierend auf der Dauer, die die Daten gespeichert sind, oder dem Datum, an dem die Daten gespeichert wurden, fest. Führen Sie einen der folgenden Schritte aus:

    1. Wählen Sie zum Definieren des Zeitraums, den Daten vor einer Löschung gespeichert werden können, Dauer aus, und geben Sie die Anzahl der Tage (maximal 365), Stunden (maximal 24) und Minuten (maximal 60) ein, die seit dem Zeitstempel der Datei vergangen sind.
    2. Wählen Sie Datum aus und geben Sie in den Feldern „Kalender“ und „Zeit“ den Kalendertag bzw. die Uhrzeit an, um die Löschung der Daten basierend auf dem Datum des Zeitstempels zu definieren.
  5. Führen Sie einen der folgenden Schritte aus, um den Plan für das Überprüfen der Rollover-Kriterien zu konfigurieren:

    1. Wenn Sie ein regelmäßiges Intervall festlegen möchten, in dem die geplante Datenbanküberprüfung erfolgt, wählen Sie Intervall aus und geben Sie die Stunden und Minuten zwischen den geplanten Überprüfungen ein.

    2. Wenn Sie ein regelmäßiges Datum und eine Uhrzeit festlegen möchten, zu der die geplante Datenbanküberprüfung erfolgt, wählen Sie Datum und Zeit aus und geben Sie die Systemuhrzeit für den Rollover im Format hh:mm:ss an.

      • Wählen Sie zum Festlegen des Tags Jeden Tag, Wochentage oder Wochenenden aus. Die Standardeinstellung des Planers lautet Jeden Tag.

      • Wählen Sie zum Festlegen eines anderen Satzes Wochentage Benutzerdefiniert aus und klicken Sie auf alle Tage, an denen die Datenbanküberprüfung erfolgen soll.

        Achtung: Der Plan überschreibt alle vorherigen Pläne und wird sofort wirksam. Wenn die Aufbewahrungsfrist verringert wird, werden die Daten entfernt, die diese Aufbewahrungsfrist überschreiten.

  6. Klicken Sie auf Anwenden, um die Konfiguration abzuschließen.
You are here
Table of Contents > Detaillierte Verfahren > Konfigurieren der Datenaufbewahrung

Attachments

    Outcomes