Datos de activos obsoletos

Los datos de activos obsoletos pueden provocar problemas cuando la velocidad a la que se crean nuevos registros de activos supera la velocidad a la que se eliminan los datos de activos obsoletos. Controlar y gestionar los umbrales de retención de activos es la clave para dar respuesta a las desviaciones de crecimiento de activos provocadas por los datos de activos obsoletos.

Los datos de activos obsoletos son los datos de activos históricos que no han observado de forma activa ni pasiva dentro de un plazo de tiempo específico. Los datos de activos obsoletos se suprimen cuando exceden el periodo de retención configurado.

Los registros históricos vuelven a estar activos si los observa IBM QRadar de forma pasiva, a través de sucesos y flujos, o de forma activa, a través de exploradores de puertos y vulnerabilidades.

Para evitar las desviaciones de crecimiento de activos es necesario encontrar el equilibrio adecuado entre el número de direcciones IP permitidas para un único activo y el tiempo que QRadar retiene los datos de activo. Debe tener en cuenta las compensaciones de rendimiento y gestionabilidad antes de configurar QRadar para acomodar altos niveles de retención de datos de activos. Si bien unos periodos de retención más largos y unos umbrales por activo superiores pueden parecer deseables en todo momento, un enfoque más adecuado es determinar una configuración básica que sea aceptable para el entorno y probar dicha configuración. A continuación, puede ampliar los umbrales de retención en pequeños incrementos hasta lograr el equilibrio adecuado.