Microsoft Sentinel (SIEM) と Microsoft Defender XDR に収集したデータは、テーブルに格納されます。 Microsoft Defender ポータルでは、データに関連付けられている保持期間とストア コストを管理できます。 データ保持とコストは、次のときに管理できます。
- Microsoft Sentinel または Microsoft Defender XDR にデータを送信するようにデータ コネクタを構成します。
- 既存のテーブルとデータを管理します。
この記事では、Microsoft Defender ポータルでテーブルの保持と階層のオプションを管理してセキュリティ操作を最適化し、Microsoft Sentinel と Microsoft Defender XDR のコストを削減する方法について説明します。
Defender ポータルで管理できるテーブルはどれですか?
このセクションでは、Microsoft Defender ポータルで管理できるテーブルの種類について説明します。
![Defender ポータルの [テーブル管理] 画面を示すスクリーンショット。](media/manage-data-overview/view-table-properties-microsoft-defender-portal.png#lightbox)
| テーブルの種類 | 説明 | 例示 | Microsoft Sentinel のワークスペースにありますか? |
|---|---|---|---|
| Microsoft Sentinel | 組み込みテーブル(以下を含む): - AzureDiagnostics や SigninLogs などの Azure テーブル。 - Microsoft Sentinel テーブル。 - Microsoft Defender XDR と Microsoft Sentinel の統合。これは、分析の保有期間を 30 日を超えて増やすと、Microsoft Sentinel ワークスペースに作成されます。 現在サポートされていない Defender XDR テーブルの XDR テーブルの種類を参照してください。 |
- Azure テーブル: AzureDiagnostics、 SigninLogs- Microsoft Sentinel テーブル: AWSCloudTrail、 SecurityAlert- XDR テーブル: DeviceEvents、AlertInfo |
イエス |
| カスタム | 手動で、またはジョブを使って、Microsoft Sentinel ワークスペース内に作成するテーブル (概要ルールと検索ジョブ結果のテーブル、カスタム データ ソース テーブルなど)。 |
_CLまたは_SRCHサフィックスを持つテーブル。 |
イエス |
| XDR | XDR の既定のレベルのテーブル。既定では 30 日間の分析リテンション期間があります。 これらのテーブルは表示できますが、Defender ポータルからは管理できません。 | IdentityInfo |
いいえ |
注
基本的なログ テーブルは、Defender ポータルから Microsoft Sentinel ワークスペースで表示できますが、現在管理できるのは Log Analytics ワークスペースのみです。 Defender ポータルからこれらのテーブルを管理するには、Microsoft Sentinel ワークスペースでテーブル プランを基本から分析に変更します。
データ層とデータ保持の仕組み
Microsoft Sentinel のデータは、次の 2 つのレベルのいずれかで保持できます。
分析レベル: このレベルでは、アラート、ハンティング、ブック、およびすべての Microsoft Sentinel 機能でデータを使用できます。 データは次の 2 つの状態で保持されます。
- 分析のリテンション期間: この "ホット" 状態では、データはリアルタイム分析 (高パフォーマンスクエリや分析ルールを含む) と脅威ハンティングに完全に利用できます。 既定では、Microsoft Sentinel と Microsoft Defender XDR は、このレベルのデータを 30 日間保持します。 日割り計算された毎月の長期保有料金で、すべてのテーブルの保持期間を最大 2 年間まで延長できます。 Microsoft Sentinel ソリューション テーブルのリテンション期間を無料で 90 日間まで延長できます。
- 合計リテンション期間: 既定では、分析層のすべてのデータは、同じ保有期間にわたってデータ レイクにミラーリングされます。 分析リテンション期間を超えて、レイク内のデータのリテンション期間を最大 12 年間、低コストで拡張できます。
Data Lake レベル: この低コストの "コールド" レベルでは、Microsoft Sentinel はデータをレイクにのみ保持します。 Data Lake 層のデータは、リアルタイムの分析機能や脅威ハンティングでは使用できません。 ただし、 KQL ジョブを使用して必要なときにいつでもレイク内のデータにアクセスしたり、スケジュールされた KQL または Spark ジョブを実行して時間の経過に伴う傾向を分析したり、サマリー ルールを使用して定期的に受信データから分析情報を集計したりできます。
XDR データ: 既定では、Microsoft Defender XDR 脅威ハンティング データは常に分析レベルで 30 日間使用できます。 お客様は、分析レベルでこのデータのリテンション期間を最大 90 日間まで延長できます。XDR ライセンスには追加コストなしで含まれます。 データ レイク層にのみ取り込むこともできますが、この状態では常に分析層で 30 日間データを使用できます。
これら 2 つのリテンション期間の種類の違いの詳細については、「 分析レベルとデータ レイク層の比較」を参照してください。
次の図は、分析、データ レイク、XDR の既定のレベルの保持コンポーネントと、各層に適用されるテーブルの種類を示しています。
Microsoft Sentinel データ レイクの詳細については、「 Microsoft Sentinel Data Lake とは」を参照してください。
分析レベルとデータ レイク層を比較する
次の表は、2 つの分析層とデータ レイク層とその主な特性を比較しています。
| 比較 | Analytics 層 | データレイク層 |
|---|---|---|
| 主な特性 | ログに対する高パフォーマンスのクエリーとインデックス作成(ホットまたはインタラクティブ リテンションとも呼ばれます)。 | 大規模なデータ ボリューム (コールド ストレージとも呼ばれます) のコスト効率の高い長期保有。 |
| 最適な用途 | リアルタイム分析規則、アラート、ハンティング、ワークブック、およびすべての Microsoft Sentinel 機能。 | - コンプライアンスと規制のログ記録。 - 履歴傾向分析とフォレンジック。 - リアルタイム アラートに不要な低接触データ。 |
| 取り込みコスト | Standard | 最小限 |
| クエリ価格が含まれる | ✅ | ❌ |
| 最適化されたクエリ パフォーマンス | ✅ |
❌ 低速なクエリ。 監査に適しています。 リアルタイム分析用に最適化されていません。 |
| クエリ機能 | Microsoft Defender と Azure portal での完全なクエリ機能と API の使用。 |
-
和集合と結合を含む完全なクエリ機能 - スケジュールされた KQL または Spark ジョブを実行します。 - ノートブックを使用します。 |
| リアルタイム分析機能の完全なセット | ✅ | ❌分析ルール、追求クエリ、パーサー、ウォッチリスト、ブック、プレイブックなど、一部の機能に関する制限事項。 |
| 検索ジョブ | ✅ | ✅ |
| 集計ルール | ✅ | ✅ 単一テーブル上の完全な KQL。lookup を使用して、Analytics テーブルのデータで拡張できます。 |
| 復元 | ✅ | ❌ KQL ジョブと Notebook ジョブは、データを分析層に昇格させることができます。 |
| データのエクスポート | ✅ | ❌ |
| 保持期間 | Microsoft Sentinel の場合は 90 日、Microsoft Defender XDR の場合は 30 日。 日割り計算された月単位の長期保有料金で、最大 2 年間まで延長できます。 |
既定では、分析のデータ保持と同じです。 最大12年まで延長できます。 |
テーブルの設定を変更するとどうなりますか
テーブルの階層とリテンション期間の設定はいつでも切り替えることができます。
テーブルの層を分析からデータ レイクに変更すると、リアルタイム分析およびハンティング クエリはすべて機能しなくなります。
テーブルの合計リテンション期間を短縮すると、Microsoft はデータを削除するまで 30 日間待機するため、変更を元に戻し、構成でエラーが発生した場合にデータ損失を回避できます。
合計保持期間を増やすと、新しい保持期間は、テーブルに取り込み済みでまだ削除されていないすべてのデータに適用されます。
既存のデータを含むテーブルの分析リテンション期間の設定を変更すると、変更はすぐに有効になります。
例:
- 分析レベルには、分析リテンション期間が 180 日間のテーブルがあります。 既定では、合計リテンション期間も 180 日に設定されます。
- 分析のリテンション期間を 90 日に変更すると、合計保有期間は 180 日に変更されません。
- Microsoft Sentinel は、過去 90 日間のデータを分析リテンション期間から自動的に削除しますが、データ レイクに 90 日から 180 日のデータを保存し続けます。
Microsoft Sentinel 内で XDR データを管理する
既定では、Microsoft Defender XDR は、脅威ハンティング データを XDR の既定のレベル に 30 日間保持します。 このデータは、既定では分析レベルまたはデータ レイク レベルには取り込まれません。 サポートされている XDR テーブルの保有期間を 30 日を超えて延長すると、テーブルは、分析レベルの Microsoft Sentinel ワークスペースに作成され、データ レイク レベルにミラー化されます。
Azure portal で Microsoft Sentinel XDR コネクタを有効にした場合、セットアップ時に選択したテーブルは分析層に自動的に取り込み、データ レイク層にミラー化されます。 既定のリテンション期間は 30 日であり、12 年まで延長できます。 テーブルの一覧については、 Microsoft Defender XDR と Microsoft Sentinel の統合に関する説明を参照してください。 コネクタのデプロイ中に選択しなかったサポートされている XDR テーブルを分析層に取り込み、保持期間を 30 日以上に設定することで、データ レイク層にミラーリングできます。
Microsoft Sentinel XDR コネクタを有効にしない場合、XDR テーブルは自動的に取り込まれませんが、Defender ポータルで分析またはデータ レイク層のリテンション期間を 30 日以上設定することで、それらを取り込むことができます。
保持設定を構成する際に Data Lake 層オプションを選択することで、サポートされている XDR テーブルを データ レイク層 にのみ取り込むことができます。 詳細については、「 データ保持と階層化の構成」を参照してください。
分析レベルの保有期間と合計保有期間を既定の 30 日間にリセットすることで、分析レベルへのデータの取り込みを停止します。 このアクションにより、Azure portal でコネクタが無効になります。
テーブルとデータの管理の詳細については、「既存のテーブルとデータの管理」を参照してください。
XDR データ保有とコスト
次の表は、Microsoft Sentinel のさまざまなレベルの無料保有期間とコストへの影響をまとめたものです。
| レベル | Retention | 注記 |
|---|---|---|
| 高度な追求 (既定) | 30 日間 | XDR ライセンスに含まれる既定値 |
| Analytics 層 | 90 日間 | Sentinel 対応ワークスペース用の空きストレージ。 インジェスト料金が適用されます。 |
| Data Lake | 構成可能。 既定では、分析レベルと同じです。 | 合計保有期間が分析レベルの保有期間と同じ場合の空きストレージ。 分析層の保有期間を超えてデータ レイク内のデータを保持するか、またはデータ レイク層でのみデータを保持すると、追加のストレージ コストが発生します。 |
請求とコストの詳細については、「Microsoft Sentinel の完全な請求モデルを理解する」を参照してください。
次の例では、XDR データは、分析レベルまたはデータ レイク レベルの保有設定に関係なく、高度な追求を通じて少なくとも 30 日間使用できます。
| 分析レベルの保有期間 | 合計保有期間 | 分析レベルのインジェスト コスト | 分析レベルのストレージ コスト | データ レイク レベルのコスト |
|---|---|---|---|---|
| 30 日の既定値 | 30 日の既定値 | 追加のコストが発生しない | N/A | N/A |
| 90 日間 | 90 日間 | コストは、分析レベルのインジェストに適用されます。 | 追加のコストが発生しない。 90 日は無料で含まれています。 | 追加のコストが発生しない。 合計保有期間は、分析レベルの保有期間と一致します。 |
| 90 日間 | 180 日 | コストは、分析レベルのインジェストに適用されます。 | 追加コストなし。90 日間は無料で含まれています。 | 追加のデータ レイク保有期間 90 日 (180 - 90 日) には、コストが適用されます。 |
| 180 日 | 1 年 | コストは、分析レベルのインジェストに適用されます。 | コストは、90 日の追加の分析レベルの保有期間に適用されます。 | 追加のデータ レイク保有期間 185 日 (365 - 180 日) には、コストが適用されます。 |
| 0 日 (データ レイクのみ) | 5 年 | N/A | N/A | コストは、取り込みと5年間のデータレイクの保持に発生します。 |
次のステップ
詳細については、以下をご覧ください。