Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dane zbierane w usługach Microsoft Sentinel (SIEM) i Microsoft Defender XDR są przechowywane w tabelach. Portal usługi Microsoft Defender umożliwia zarządzanie okresem przechowywania i kosztami przechowywania skojarzonymi z danymi. Możesz zarządzać przechowywaniem i kosztami, gdy:
- Skonfiguruj łączniki danych , aby wysyłać dane do usługi Microsoft Sentinel lub Microsoft Defender XDR.
- Zarządzanie istniejącymi tabelami i danymi.
W tym artykule wyjaśniono, jak zarządzać opcjami przechowywania tabel i warstw w portalu usługi Microsoft Defender, aby zoptymalizować operacje zabezpieczeń i obniżyć koszty w usługach Microsoft Sentinel i Microsoft Defender XDR.
Którymi tabelami można zarządzać w portalu usługi Defender?
W tej sekcji opisano typy tabel, którymi można zarządzać w portalu usługi Microsoft Defender.
| Typ tabeli | Opis | Przykłady | Czy znajduje się w obszarze roboczym usługi Microsoft Sentinel? |
|---|---|---|---|
| Microsoft Sentinel | Wbudowane tabele, w tym: — Tabele platformy Azure, takie jak AzureDiagnostics i SigninLogs. — Tabele usługi Microsoft Sentinel. - Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel, która jest tworzona w obszarze roboczym usługi Microsoft Sentinel w przypadku zwiększenia okresu przechowywania analiz po upływie 30 dni. Zobacz typ tabeli XDR dla tabel Defendera XDR, które są obecnie nieobsługiwane. |
— Tabele platformy Azure: AzureDiagnostics, SigninLogs— Tabele usługi Microsoft Sentinel: AWSCloudTrail, SecurityAlert- Tabele XDR: DeviceEvents,AlertInfo |
Tak |
| Niestandardowe Rozwiązanie | Tabele tworzone ręcznie lub za pośrednictwem zadań w obszarze roboczym usługi Microsoft Sentinel, w tym tabele reguł podsumowania i tabele wyników zadań wyszukiwania oraz niestandardowe tabele źródeł danych. | Tabele z sufiksami _CL lub _SRCH . |
Tak |
| XDR | Tabele w domyślnej warstwie XDR, które domyślnie mają 30 dni przechowywania analiz. Możesz wyświetlić te tabele, ale nie można nimi zarządzać w portalu usługi Defender. | IdentityInfo |
Nie. |
Uwaga / Notatka
Tabele dzienników podstawowych można wyświetlić w obszarze roboczym usługi Microsoft Sentinel z poziomu portalu usługi Defender, ale obecnie można nimi zarządzać tylko z poziomu obszaru roboczego usługi Log Analytics. Aby zarządzać tymi tabelami z poziomu portalu usługi Defender, zmień plan tabeli z podstawowego na analizę w obszarze roboczym usługi Microsoft Sentinel.
Jak działają warstwy danych i przechowywanie
Dane w usłudze Microsoft Sentinel można przechowywać w jednej z dwóch warstw:
Warstwa analizy: ta warstwa udostępnia dane na potrzeby alertów, wyszukiwania zagrożeń, skoroszytów i wszystkich funkcji usługi Microsoft Sentinel. Zachowuje dane w dwóch stanach:
- Przechowywanie danych analitycznych: w tym "gorącym" stanie dane są w pełni dostępne dla analiz w czasie rzeczywistym, w tym zapytań o wysokiej wydajności, reguł analitycznych oraz wyszukiwania zagrożeń. Domyślnie usługi Microsoft Sentinel i Microsoft Defender XDR przechowują dane w tej warstwie przez 30 dni. Okres przechowywania wszystkich tabel można przedłużyć do dwóch lat przy proporcjonalnym miesięcznym okresie przechowywania długoterminowego. Okres przechowywania tabel rozwiązań usługi Microsoft Sentinel można przedłużyć do 90 dni za darmo.
- Łączne przechowywanie: Domyślnie wszystkie dane w warstwie analizy są odzwierciedlane do Data Lake w tym samym okresie przechowywania. Przechowywanie danych w jeziorze można rozszerzyć poza przechowywanie analiz przez maksymalnie 12 lat całkowitego przechowywania przy niskich kosztach.
Warstwa Data Lake: W tej niskokosztowej, "zimnej" warstwie, Microsoft Sentinel przechowuje dane tylko w Data Lake. Dane w warstwie typu data lake nie są dostępne dla funkcji analizy w czasie rzeczywistym i wyszukiwania zagrożeń. Jednak dostęp do danych w jeziorze można uzyskiwać za pośrednictwem zadań KQL, analizować trendy w czasie, uruchamiając zaplanowane zadania KQL lub Spark oraz agregując szczegółowe informacje z danych przychodzących w regularnym tempie przy użyciu reguł podsumowania.
Dane XDR: domyślnie dane wyszukiwania zagrożeń XDR w usłudze Microsoft Defender są zawsze dostępne w warstwie analizy przez 30 dni. Klienci mogą przedłużyć przechowywanie tych danych w warstwie analizy do 90 dni, uwzględnionych w licencji XDR bez dodatkowych kosztów. Możesz również umieszczać dane wyłącznie w warstwie typu data lake, ale przez 30 dni będą one dostępne w warstwie analitycznej w tym stanie.
Aby uzyskać więcej informacji na temat różnic między tymi dwoma typami przechowywania, zobacz Porównanie warstw analizy i warstw typu data lake.
Na tym diagramie przedstawiono składniki przechowywania warstw domyślnych analizy, usługi Data Lake i XDR oraz typy tabel, które mają zastosowanie do każdej warstwy:
Aby uzyskać więcej informacji na temat usługi Data Lake usługi Microsoft Sentinel, zobacz Co to jest usługa Data Lake usługi Microsoft Sentinel.
Porównanie warstw analizy i usługi Data Lake
W tej tabeli porównaliśmy dwie warstwy analizy i usługi Data Lake oraz ich kluczowe cechy:
| Porównanie | Warstwa analityki | Warstwa usługi Data Lake |
|---|---|---|
| Kluczowe cechy | Wykonywanie zapytań i indeksowanie dzienników o wysokiej wydajności (nazywane również przechowywaniem gorącym lub interaktywnym). | Ekonomiczne długoterminowe przechowywanie dużych ilości danych (nazywanych również zimnym magazynem). |
| Najlepsze dla | Reguły analizy w czasie rzeczywistym, alerty, wyszukiwanie zagrożeń, skoroszyty i wszystkie funkcje usługi Microsoft Sentinel. | - Zgodność z przepisami i logowanie regulacyjne. - Analiza trendów historycznych i kryminalityka. — Dane o niskim dotknięciu, które nie są potrzebne w przypadku alertów w czasie rzeczywistym. |
| Koszt pobierania | Standard | Minimalny |
| Cena zapytania wliczona | ✅ | ❌ |
| Zoptymalizowana wydajność zapytań | ✅ |
❌ Wolniejsze zapytania. Dobre do audytu. Nie zoptymalizowano do analizy w czasie rzeczywistym. |
| Możliwości zapytań | Pełne możliwości zapytania w portalach Microsoft Defender i Azure oraz przy użyciu interfejsów API. |
-
Pełne możliwości zapytań, w tym związki i sprzężenia. — Uruchamianie zaplanowanych zadań KQL lub Spark. — Użyj notesów. |
| Pełny zestaw funkcji analizy w czasie rzeczywistym | ✅ | ❌ Ograniczenia dotyczące niektórych funkcji, w tym reguł analizy, zapytań wyszukiwania zagrożeń, analizatorów, list do obejrzenia, skoroszytów i podręczników. |
| Szukaj ofert pracy | ✅ | ✅ |
| Reguły podsumowania | ✅ | ✅ Pełne KQL w pojedynczej tabeli, którą można rozszerzyć przy użyciu danych z tabeli analitycznej przy użyciu wyszukiwania |
| Przywrócić | ✅ | ❌ Zadania KQL i notatnika mogą awansować dane do warstwy analizy. |
| Eksport danych | ✅ | ❌ |
| Okres przechowywania | 90 dni dla usługi Microsoft Sentinel, 30 dni dla usługi Microsoft Defender XDR. Można przedłużyć do dwóch lat przy naliczaniu miesięcznej opłaty za długoterminowe przechowywanie proporcjonalnie do czasu użytkowania. |
Domyślnie tak samo jak przechowywanie analiz. Może zostać przedłużony do 12 lat. |
Co się stanie po zmodyfikowaniu ustawień tabeli
Ustawienia poziomu i przechowywania tabeli można zmieniać w dowolnym momencie.
Po zmianie warstwy tabeli z analizy na usługę Data Lake wszystkie zapytania analizy i wyszukiwania zagrożeń w czasie rzeczywistym przestaną działać.
Po skróceniu całkowitego przechowywania tabeli firma Microsoft czeka 30 dni przed usunięciem danych, aby można było przywrócić zmianę i uniknąć utraty danych w przypadku wystąpienia błędu w konfiguracji.
Po zwiększeniu całkowitego okresu przechowywania nowy okres przechowywania ma zastosowanie do wszystkich danych, które zostały już pozyskane do tabeli i nie zostały jeszcze usunięte.
Gdy zmienisz ustawienia przechowywania analiz tabeli z istniejącymi danymi, zmiana zostanie natychmiast w życie.
Przykład:
- Masz tabelę w warstwie analizy z 180-dniowym okresem przechowywania analiz. Domyślnie łączny okres przechowywania jest również ustawiony na 180 dni.
- Okres przechowywania analiz zmienia się na 90 dni bez zmiany łącznego okresu przechowywania wynoszącym 180 dni.
- Usługa Microsoft Sentinel automatycznie usuwa ostatnie 90 dni z przechowywania danych analitycznych, ale nadal przechowuje dane z 90–180 dni w usłudze Data Lake.
Zarządzanie danymi XDR w usłudze Microsoft Sentinel
Domyślnie usługa Microsoft Defender XDR przechowuje dane wyszukiwania zagrożeń w domyślnej warstwie XDR przez 30 dni. Te dane nie są domyślnie integrowane z warstwami analitycznymi ani z data lake. Jeśli wydłużysz okres przechowywania tabel XDR o rozszerzonym okresie obsługi do ponad 30 dni, tabele są tworzone w obszarze roboczym usługi Microsoft Sentinel w warstwie analitycznej i odzwierciedlane w warstwie typu data lake.
Jeśli włączysz łącznik XDR usługi Microsoft Sentinel w portalu Azure, tabele wybrane podczas instalacji zostaną automatycznie załadowane do warstwy analizy i zreplikowane do warstwy usługi Data Lake. Domyślny okres przechowywania wynosi 30 dni i można go przedłużyć do 12 lat. Aby uzyskać listę tabel, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel. Możesz pozyskać obsługiwane tabele XDR, które nie były wybierane podczas wdrażania łącznika w warstwie analizy i dublować je w warstwie typu data lake, ustawiając okres przechowywania na ponad 30 dni.
Jeśli nie włączysz łącznika XDR usługi Microsoft Sentinel, tabele XDR nie są pozyskiwane automatycznie, ale nadal można je pozyskiwać, ustawiając przechowywanie w warstwie analityki lub w magazynie typu data lake na ponad 30 dni w portalu usługi Defender.
Możesz wybrać pozyskiwanie obsługiwanych tabel XDR wyłącznie w warstwie data lake, wybierając opcję Warstwa data lake przy konfiguracji ustawień przechowywania. Aby uzyskać więcej informacji, zobacz Konfigurowanie przechowywania danych i warstwowania.
Zatrzymaj pozyskiwanie danych do warstwy analitycznej, resetując czas przechowywania warstwy analitycznej i całkowity czas przechowywania do domyślnej wartości 30 dni. Ta akcja powoduje wyłączenie łącznika w witrynie Azure Portal.
Aby uzyskać więcej informacji na temat zarządzania tabelami i danymi, zobacz Zarządzanie istniejącymi tabelami i danymi.
Przechowywanie i koszty przechowywania danych XDR
W poniższych tabelach podsumowano okresy bezpłatnego przechowywania i wpływ na koszty dla różnych warstw w usłudze Microsoft Sentinel:
| Warstwa | Retention | Notatki |
|---|---|---|
| Zaawansowane wyszukiwanie zagrożeń (ustawienie domyślne) | 30 dni | Domyślna, uwzględniona w licencji XDR |
| Warstwa analityki | 90 dni | Bezpłatne przechowywanie dla obszarów roboczych aktywowanych usługą Sentinel. Obowiązują opłaty za pobieranie danych. |
| Data Lake | Konfigurowalne. Domyślnie jest to samo co warstwa analizy. | Darmowe miejsce na dane, gdy łączny czas przechowywania jest taki sam jak retencja w warstwie analitycznej. Przechowywanie danych w usłudze Data Lake poza okresem przechowywania warstwy analizy lub wyłącznie w warstwie typu data lake wiąże się z dodatkowymi kosztami magazynowania. |
Aby uzyskać więcej informacji na temat rozliczeń i kosztów, zobacz Omówienie pełnego modelu rozliczeń dla usługi Microsoft Sentinel
W poniższych przykładach dane XDR są dostępne przez zaawansowane wyszukiwanie przez co najmniej 30 dni, niezależnie od ustawień przechowywania w warstwach analizy lub zbiorniku danych.
| Przechowywanie danych w warstwie analitycznej | Łączny okres przechowywania | Koszty przetwarzania danych warstwy analitycznej | Koszty magazynowania warstwy analizy | Koszty warstwy usługi Data Lake |
|---|---|---|---|---|
| Domyślna wartość 30 dni | Domyślna wartość 30 dni | Brak dodatkowych kosztów | N/A | N/A |
| 90 dni | 90 dni | Koszty mają zastosowanie do pozyskiwania warstwy analitycznej. | Brak dodatkowych kosztów. Bezpłatne 90 dni. | Brak dodatkowych kosztów. Łączna ilość przechowywania odpowiada przechowywaniu w warstwie analizy. |
| 90 dni | 180 dni | Koszty mają zastosowanie do pozyskiwania warstwy analitycznej. | Brak dodatkowych kosztów; Bezpłatne 90 dni. | Koszty dotyczą dodatkowego przechowywania typu data lake przez 90 dni (w okresie 180–90 dni). |
| 180 dni | 1 rok | Koszty mają zastosowanie do pozyskiwania warstwy analitycznej. | Opłaty dotyczą 90 dni dodatkowego czasu przechowywania danych analitycznych. | Koszty dotyczą 185 dni dodatkowego przechowywania magazynu typu data lake (365–180 dni). |
| 0 dni (tylko usługa Data Lake) | 5 lat | N/A | N/A | Koszty mają zastosowanie do przyjmowania danych i za przechowywanie w usłudze Data Lake przez 5 lat. |
Dalsze kroki
Dowiedz się więcej o: