Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Daten, die Sie in Microsoft Sentinel (SIEM) sammeln, und Microsoft Defender XDR werden in Tabellen gespeichert. Mit dem Microsoft Defender-Portal können Sie den Aufbewahrungszeitraum und die Speicherkosten für Ihre Daten verwalten. Sie können Aufbewahrung und Kosten verwalten, wenn Sie:
- Konfigurieren Sie Daten-Connectors zum Senden von Daten an Microsoft Sentinel oder Microsoft Defender XDR.
- Verwalten Sie Ihre vorhandenen Tabellen und Daten.
In diesem Artikel wird erläutert, wie Sie Tabellenaufbewahrungs- und Tieroptionen im Microsoft Defender-Portal verwalten, um Sicherheitsvorgänge zu optimieren und Kosten in Microsoft Sentinel und Microsoft Defender XDR zu reduzieren.
Welche Tabellen können Sie im Defender-Portal verwalten?
In diesem Abschnitt werden die Tabellentypen beschrieben, die Sie im Microsoft Defender-Portal verwalten können.
| Tabellentyp | BESCHREIBUNG | Beispiele | Befindet es sich im Microsoft Sentinel-Arbeitsbereich? |
|---|---|---|---|
| Microsoft Sentinel | Integrierte Tabellen, einschließlich: – Azure-Tabellen wie AzureDiagnostics und SigninLogs. – Microsoft Sentinel-Tabellen. - Microsoft Defender XDR-Integration in Microsoft Sentinel, die in Ihrem Microsoft Sentinel-Arbeitsbereich erstellt werden, wenn Sie den Aufbewahrungszeitraum für Analysen über 30 Tage erhöhen. Siehe den XDR-Tabellentyp für Defender XDR-Tabellen, die derzeit nicht unterstützt werden. |
- Azure-Tabellen: AzureDiagnostics, SigninLogs- Microsoft Sentinel-Tabellen: AWSCloudTrail, SecurityAlert- XDR-Tabellen: DeviceEvents,AlertInfo |
Ja |
| Benutzerdefiniert | Tabellen, die Sie manuell oder über Aufträge in Ihrem Microsoft Sentinel-Arbeitsbereich erstellen, einschließlich Zusammenfassungsregel- und Suchergebnissetabellen sowie benutzerdefinierte Datenquellentabellen. | Tabellen mit _CL oder _SRCH Suffixen. |
Ja |
| XDR | Tabellen befinden sich in der XDR-Standardstufe, die standardmäßig eine Analyse-Aufbewahrungsdauer von 30 Tagen haben. Sie können diese Tabellen anzeigen, aber sie können sie nicht über das Defender-Portal verwalten. | IdentityInfo |
Nein |
Hinweis
Im Defender-Portal können Sie Standardprotokolltabellen in Ihrem Microsoft Sentinel-Arbeitsbereich anzeigen, aber Sie können sie derzeit nur über Ihren Log Analytics-Arbeitsbereich verwalten. Um diese Tabellen über das Defender-Portal zu verwalten, ändern Sie den Tabellenplan von "Einfach" in "Analyse" in Ihrem Microsoft Sentinel-Arbeitsbereich.
Funktionsweise von Datenebenen und Aufbewahrung
Sie können Daten in Microsoft Sentinel in einer von zwei Ebenen aufbewahren:
Analyseebene: Diese Ebene stellt Daten für Warnungen, Suche, Arbeitsmappen und alle Microsoft Sentinel-Features zur Verfügung. Daten werden in zwei Zuständen aufbewahrt:
- Analyseaufbewahrung: In diesem „aktiven“ Zustand stehen die Daten vollständig für Echtzeitanalysen – einschließlich leistungsstarker Abfragen und Analyseregeln – sowie für die Bedrohungssuche zur Verfügung. Standardmäßig speichert Microsoft Sentinel und Microsoft Defender XDR Daten in dieser Stufe 30 Tage lang. Sie können den Aufbewahrungszeitraum aller Tabellen auf bis zu zwei Jahre verlängern, wobei eine anteilige langfristige monatliche Aufbewahrungsgebühr anfällt. Sie können den Aufbewahrungszeitraum von Microsoft Sentinel-Lösungstabellen kostenlos auf 90 Tage verlängern.
- Gesamtaufbewahrung: Standardmäßig werden alle Daten auf der Analyseebene für denselben Aufbewahrungszeitraum auf den Data Lake gespiegelt. Sie können die Aufbewahrung Ihrer Daten im See über die Analyseaufbewahrung hinaus um bis zu 12 Jahre Gesamtaufbewahrung zu geringen Kosten verlängern.
Datenseeebene: In dieser kostengünstigen "kalten" Stufe speichert Microsoft Sentinel Ihre Daten nur im See. Daten auf der Data-Lake-Ebene sind für Echtzeitanalysefunktionen und Bedrohungsanalyse nicht verfügbar. Sie können jedoch immer dann auf Daten im See zugreifen, wenn Sie sie über KQL-Aufträge benötigen, Trends im Laufe der Zeit analysieren, indem Sie geplante KQL- oder Spark-Aufträge ausführen und Erkenntnisse aus eingehenden Daten in regelmäßigen Abständen mithilfe von Zusammenfassungsregeln aggregieren.
XDR-Daten: Microsoft Defender XDR Threat Hunting-Daten sind standardmäßig 30 Tage lang in der Analyseebene verfügbar. Kunden können die Aufbewahrung dieser Daten auf Analyseebene auf bis zu 90 Tage verlängern, die in der XDR-Lizenz enthalten sind, ohne zusätzliche Kosten. Sie können die Daten auch exklusiv in der Data Lake-Ebene erfassen, aber die Daten sind in diesem Zustand 30 Tage lang immer in der Analyseebene verfügbar.
Weitere Informationen zu den Unterschieden zwischen diesen beiden Aufbewahrungstypen finden Sie unter Vergleichen der Analyse- und Data Lake-Ebenen.
Dieses Diagramm zeigt die Aufbewahrungskomponenten der Standardebenen "Analyse", "Data Lake" und "XDR", und welche Tabellentypen für jede Ebene gelten:
Weitere Informationen zum Microsoft Sentinel-Datensee finden Sie unter "What is Microsoft Sentinel data lake".
Vergleichen Sie die Analyse- und Daten-Lake-Ebenen.
Diese Tabelle vergleicht die beiden Analyse- und Data-Lake-Ebenen sowie ihre wichtigsten Merkmale:
| Vergleich | Analyseebene | Data Lake-Ebene |
|---|---|---|
| Hauptmerkmale | Hochleistungsfähige Abfrage und Indizierung für Protokolle (auch als „Hot Retention“ oder „Interactive Retention“ bezeichnet). | Kostengünstige langfristige Aufbewahrung großer Datenmengen (auch als Kaltspeicher bezeichnet). |
| Am besten geeignet für: | Echtzeitanalyseregeln, Warnungen, Suche, Arbeitsmappen und alle Microsoft Sentinel-Features. | – Einhaltung und behördliche Protokollierung. - Historische Trendanalyse und Forensik. – Daten mit geringer Fingereingabe, die für Echtzeitbenachrichtigungen nicht benötigt werden. |
| Erfassungskosten | Norm | Wenig |
| Abfragepreis inbegriffen | ✅ | ❌ |
| Optimierte Abfrageleistung | ✅ |
❌ Langsamere Abfragen. Gut für Überwachung. Nicht für Echtzeitanalysen optimiert. |
| Abfragemöglichkeiten | Vollständige Abfragefunktionen in den Microsoft Defender- und Azure-Portalen und verwenden APIs. |
-
Vollständige Abfragefunktionen, einschließlich Vereinigungen und Verknüpfungen. - Geplante KQL- oder Spark-Aufträge ausführen. - Verwenden Sie Notizbücher. |
| Vollständiger Satz von Echtzeitanalysefeatures | ✅ | ❌ Einschränkungen für einige Features, einschließlich Analyseregeln, Suchabfragen, Parser, Watchlists, Arbeitsmappen und Playbooks. |
| Suchaufträge | ✅ | ✅ |
| Zusammenfassungsregeln | ✅ | ✅ Vollständige KQL in einer einzelnen Tabelle, die Sie mithilfe von Lookup mit Daten aus einer Analysetabelle erweitern können |
| Wiederherstellen | ✅ | ❌ KQL- und Notebook-Aufträge können Daten auf die Analyseebene höherstufen. |
| Datenexport | ✅ | ❌ |
| Aufbewahrungszeitraum | 90 Tage für Microsoft Sentinel, 30 Tage für Microsoft Defender XDR. Kann auf bis zu zwei Jahre bei einer anteiligen monatlichen Gebühr für Langzeitaufbewahrung verlängert werden. |
Identisch mit der Aufbewahrung von Analysen standardmäßig. Kann auf bis zu 12 Jahre verlängert werden. |
Was geschieht, wenn Sie Tabelleneinstellungen ändern
Sie können die Ebenen- und Aufbewahrungseinstellungen einer Tabelle jederzeit wechseln.
Wenn Sie die Stufe einer Tabelle von Analytics zu Data Lake ändern, funktionieren alle Echtzeitanalysefunktionen und Suchabfragefunktionen nicht mehr.
Wenn Sie die gesamte Aufbewahrung einer Tabelle verkürzen, wartet Microsoft 30 Tage vor dem Entfernen der Daten, sodass Sie die Änderung wiederherstellen und Datenverlust vermeiden können, wenn Sie einen Fehler in der Konfiguration vorgenommen haben.
Wenn Sie die gesamte Aufbewahrung erhöhen, gilt der neue Aufbewahrungszeitraum für alle Daten, die bereits in der Tabelle erfasst und noch nicht entfernt wurden.
Wenn Sie die Analyseaufbewahrungseinstellungen einer Tabelle mit vorhandenen Daten ändern, wird die Änderung sofort wirksam.
Beispiel:
- Sie haben eine Tabelle auf der Analyseebene mit 180 Tagen Analyseaufbewahrung. Standardmäßig ist die Gesamtaufbewahrung auch auf 180 Tage festgelegt.
- Sie ändern die Analyseaufbewahrung auf 90 Tage, ohne den Gesamten Aufbewahrungszeitraum von 180 Tagen zu ändern.
- Microsoft Sentinel entfernt automatisch die letzten 90 Tage von Daten aus der Analyseaufbewahrung, speichert aber weiterhin Daten, die 90-180 Tage im Data Lake gespeichert werden.
Verwalten von XDR-Daten in Microsoft Sentinel
Standardmäßig speichert Microsoft Defender XDR Daten zur Bedrohungssuche in der XDR-Standardebene für 30 Tage. Diese Daten werden standardmäßig nicht in die Analyse-, oder Data-Lake-Ebenen aufgenommen. Wenn Sie den Aufbewahrungszeitraum der unterstützten XDR-Tabellen über 30 Tage hinaus verlängern, werden die Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich auf der Analyseebene erstellt und auf die Datenseeebene gespiegelt.
Wenn Sie den Microsoft Sentinel XDR-Connector im Azure-Portal aktivieren, werden die Tabellen, die Sie während der Einrichtung auswählen, automatisch in die Analyseebene aufgenommen und auf die Data-Lake-Ebene gespiegelt. Die Standardaufbewahrung beträgt 30 Tage, und Sie können sie bis zu 12 Jahre verlängern. Eine Liste der Tabellen finden Sie unter Microsoft Defender XDR-Integration in Microsoft Sentinel. Sie können unterstützte XDR-Tabellen, die Sie nicht während der Connectorbereitstellung ausgewählt haben, in der Analyseebene erfassen und in die Data Lake-Ebene spiegeln, indem die Aufbewahrung auf mehr als 30 Tage festgelegt wird.
Wenn Sie den Microsoft Sentinel XDR-Connector nicht aktivieren, werden XDR-Tabellen nicht automatisch importiert, aber Sie können sie trotzdem importieren, indem Sie eine Aufbewahrungsfrist von mehr als 30 Tagen für Analyse- oder Data Lake-Ebenen im Defender-Portal festlegen.
Sie können unterstützte XDR-Tabellen ausschließlich in die Daten-Lake-Ebene aufnehmen, indem Sie beim Konfigurieren der Aufbewahrungseinstellungen die Daten-Lake-Ebene auswählen. Weitere Informationen finden Sie unter Konfiguration der Datenaufbewahrung und des Tierings.
Beenden Sie das Aufnehmen von Daten in die Analyseebene, indem Sie die Aufbewahrungsfrist der Analyseebene und die Gesamtaufbewahrungsfrist auf die standardmäßigen 30 Tage zurücksetzen. Mit dieser Aktion wird der Connector im Azure-Portal deaktiviert.
Weitere Informationen zum Verwalten Von Tabellen und Daten finden Sie unter Verwalten ihrer vorhandenen Tabellen und Daten.
XDR-Datenaufbewahrung und -kosten
In den folgenden Tabellen sind die kostenlosen Aufbewahrungszeiträume und Kostenauswirkungen für die verschiedenen Ebenen in Microsoft Sentinel zusammengefasst:
| Tarif | Retention | Hinweise |
|---|---|---|
| Erweiterte Bedrohungssuche (Standard) | 30 Tage | Standard, enthalten in der XDR-Lizenz |
| Analyseebene | 90 Tage | Freier Speicher für Sentinel-fähige Arbeitsbereiche. Für die Erfassung fallen Gebühren an. |
| Data Lake | Konfigurierbar. Standardmäßig identisch mit der Analyseebene. | Freier Speicher, wenn die gesamte Aufbewahrung mit der Aufbewahrung auf Analyseebene identisch ist. Die Aufbewahrung von Daten im Data Lake über den Aufbewahrungszeitraum der Analyseebene hinaus oder ausschließlich auf der Data-Lake-Ebene verursacht zusätzliche Speicherkosten. |
Weitere Informationen zu Abrechnung und Kosten finden Sie unter Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel
In den folgenden Beispielen sind XDR-Daten über die erweiterte Suche für mindestens 30 Tage verfügbar, unabhängig von den Aufbewahrungseinstellungen in den Analyse- oder Data Lake-Ebenen.
| Aufbewahrung der Analyseebene | Gesamtspeicherung | Kosten für die Datenaufnahme in der Analyseebene | Kosten für Speicher auf der Analytik-Ebene | Kosten für die Data Lake-Ebene |
|---|---|---|---|---|
| Standardeinstellung für 30 Tage | Standardeinstellung für 30 Tage | Keine zusätzlichen Kosten | N/A | N/A |
| 90 Tage | 90 Tage | Es fallen Kosten für die Datenaufnahme in die Analyseebene an. | Keine zusätzlichen Kosten. Einschließlich 90 kostenlose Tage. | Keine zusätzlichen Kosten. Die Gesamtaufbewahrung entspricht der Aufbewahrung der Analyseebene. |
| 90 Tage | 180 Tage | Es fallen Kosten für die Datenaufnahme in die Analyseebene an. | Keine zusätzlichen Kosten; 90 Tage kostenlos inklusive. | Kosten gelten für 90 Tage zusätzliche Data Lake-Aufbewahrung (180 bis 90 Tage). |
| 180 Tage | 1 Jahr | Es fallen Kosten für die Datenaufnahme in die Analyseebene an. | Für 90 Tage zusätzliche Analyseebenen-Aufbewahrung fallen Kosten an. | Kosten fallen für 185 Tage zusätzliche Data Lake-Aufbewahrung an (365 bis 180 Tage). |
| 0 Tage (nur Data Lake) | 5 Jahre | N/A | N/A | Kosten gelten für die Erfassung und eine Data Lake-Aufbewahrung von 5 Jahren. |
Nächste Schritte
Weitere Informationen zu: