Konfigurieren von Respond: Festlegen einer Aufbewahrungsfrist für Warnmeldungen und Incidents

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

Manchmal möchten Datenschutzbeauftragte Daten für eine bestimmte Dauer aufbewahren und sie dann löschen. Eine kürzere Aufbewahrungsfrist macht den Speicherplatz früher wieder frei. In manchen Fällen muss die Aufbewahrungsfrist kurz sein. Zum Beispiel legen Gesetze in Europa fest, dass vertrauliche Daten nicht länger als 30 Tage aufbewahrt werden dürfen. Nach 30 Tagen müssen die Daten verschleiert oder gelöscht werden.

Die Einstellung einer Aufbewahrungsfrist für Daten ist ein optionales Verfahren. Der Zeitpunkt, zu dem NetWitness Respond Warnmeldungen empfängt und einen Incident erstellt, bestimmt, wann die Aufbewahrung beginnt. Aufbewahrungsfristen können von 30 bis zu 365 Tagen dauern. Wenn Sie eine Aufbewahrungsfrist einstellen, werden die Daten einen Tag, nachdem die Frist endet, dauerhaft gelöscht.

Aufbewahrung basiert auf dem Zeitpunkt, zu dem NetWitness Respond die Warnmeldungen empfängt und zu dem der Incident erstellt wird.

Achtung: Daten, die nach der Aufbewahrungsfrist gelöscht werden, können nicht wiederhergestellt werden.

Wenn die Aufbewahrungsfrist abläuft, werden die folgenden Daten dauerhaft gelöscht:

  • Warnmeldungen
  • Incidents
  • Aufgaben
  • Journaleinträge

Protokolle verfolgen Aufbewahrung und manuelles Löschen, sodass Sie sehen können, was gelöscht wurde. Sie könnenAntwortserver-Protokolle an folgenden Speicherorten anzeigen:

  • Antwortserver-Serviceprotokoll: /var/log/netwitness/respond-server/respond-server.log
  • Antwortserver-Auditprotokoll: /var/log/netwitness/respond-server/respond-server.audit.log

Die Datenaufbewahrungsfrist, die Sie hier festlegen, ist nicht anwendbar auf Archer oder andere SOC-Tools von Drittanbietern. Warnmeldungen und Incidents von anderen Systemen müssen getrennt gelöscht werden.

Voraussetzungen

Ihnen muss die Administratorrolle zugewiesen sein.

Verfahren

  1. Navigieren Sie zu ADMIN > ServicesAntwortserver-Dienst, wählen Sie den aus und wählen Sie dann Aktionen-Symbol > Ansicht > Durchsuchen.
  2. Wählen Sie in der Ansicht „Durchsuchen“ der Node-Liste respond/dataretention aus.
    Ansicht „Durchsuchen“ des Respond Servers mit Einstellungen für die Datenaufbewahrung
  3. Wählen Sie im Feld enabled die Option true aus, um Incidents und Warnmeldungen zu löschen, die älter sind als die Aufbewahrungsfrist.
    Der Planer wird alle 24 Stunden um 23:00 Uhr ausgeführt.
    Eine Meldung wird angezeigt, dass die Konfiguration erfolgreich aktualisiert wurde.
  4. Geben Sie im Feld retention-period die Anzahl der Tage ein, für die Incidents und Warnmeldungen aufbewahrt werden. Geben Sie z. B. 30 DAYS, 60 DAYS, 90 DAYS, 120 DAYS, 365 DAYS oder eine beliebige Anzahl von Tagen ein.
    Eine Meldung wird angezeigt, dass die Konfiguration erfolgreich aktualisiert wurde.

Ergebnis

Innerhalb von 24 Stunden nach Ende der Aufbewahrungsfrist löscht der Planer alle Warnmeldungen und Incidents, die älter als die spezifizierte Frist sind, aus NetWitness Respond. Journaleinträge und Aufgaben, die zu den gelöschten Incidents gehören, werden ebenfalls gelöscht.

You are here
Table of Contents > Zusätzliche Verfahren für die Respond-Konfiguration > Festlegen einer Aufbewahrungsfrist für Warnmeldungen und Incidents

Attachments

    Outcomes