你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
收集到 Microsoft Sentinel (SIEM) 和 Microsoft Defender XDR 中的数据存储在表中。 使用 Microsoft Defender 门户可以管理保留期和与数据关联的存储成本。 可以在以下情况下管理保留和成本:
本文介绍如何在 Microsoft Defender 门户中管理表保留和层级选项,以优化 Microsoft Sentinel 和 Microsoft Defender XDR 中的安全操作并降低成本。
可以在 Defender 门户中管理哪些表?
本部分介绍可在 Microsoft Defender 门户中管理的表类型。
| 表类型 | DESCRIPTION | 例子 | 在 Microsoft Sentinel 工作区中吗? |
|---|---|---|---|
| Microsoft Sentinel | 内置表,包括: - Azure 表,例如 AzureDiagnostics 和 SigninLogs。 - Microsoft Sentinel 表。 - Microsoft Defender XDR 与 Microsoft Sentinel 的集成是当您将分析保留期延长至超过 30 天时,在您的 Microsoft Sentinel 工作区中创建的。 请参阅当前不支持的 Defender XDR 表的 XDR 表类型。 |
- Azure 表:AzureDiagnostics、SigninLogs- Microsoft Sentinel 表: AWSCloudTrail、SecurityAlert- XDR 表: DeviceEvents、AlertInfo |
是的 |
| 自定义 | 在 Microsoft Sentinel 工作区中手动或通过作业创建的表,包括摘要规则和搜索作业结果表以及自定义数据源表。 | 带_CL或_SRCH后缀的表。 |
是的 |
| XDR | XDR 默认层中的表默认保留期为 30 天。 可以查看这些表,但无法从 Defender 门户管理这些表。 | IdentityInfo |
否 |
注释
可以从 Defender 门户在 Microsoft Sentinel 工作区中查看基本日志表,但目前只能从 Log Analytics 工作区管理这些表。 若要从 Defender 门户管理这些表,请在 Microsoft Sentinel 工作区中将表方案从基本更改为分析。
数据层和数据保留的工作原理
可以在两个层之一的 Microsoft Sentinel 中保留数据:
分析层:此层使数据可用于警报、搜寻、工作簿以及所有Microsoft Sentinel 功能。 它以两种状态保留数据:
- 数据保留:在此“热”状态下,数据完全可供实时分析使用,包括高性能查询、分析规则以及威胁搜寻。 默认情况下,Microsoft Sentinel 和 Microsoft Defender XDR 将此层中的数据保留 30 天。 可以将所有表的保留期延长至最多两年,按比例计算每月长期保留费用。 可以免费将 Microsoft Sentinel 解决方案表的保留期延长到 90 天。
- 总保留期:默认情况下,分析层中的所有数据将镜像到数据湖中,保留期相同。 可以将湖中的数据保留期延长至分析保留期,最长保留期为 12 年,成本较低。
数据湖层:在此低成本的“冷”层中,Microsoft Sentinel 仅在湖中保留您的数据。 Data Lake 层中的数据不适用于实时分析功能和威胁搜寻。 您可以随时通过 KQL 作业访问湖中的数据,运行计划的 KQL 或 Spark 作业来分析趋势变化,并使用摘要规则定期汇总传入数据的分析结果。
XDR 数据:默认情况下,Microsoft Defender XDR 威胁搜寻数据始终在分析层中提供 30 天。 客户可以将数据在分析层中的保留期延长至最多 90 天,这包含在 XDR 许可证中且无需支付额外费用。 还可以选择仅将数据引入数据湖层,但在此状态下,数据在分析层中始终可用 30 天。
有关这两种保留类型之间差异的更多信息,请参阅 “比较分析层和数据湖层”。
此图显示了分析、数据湖和 XDR 默认层的保留组件,以及适用于每个层的表类型:
有关 Microsoft Sentinel 数据湖的详细信息,请参阅 What is Microsoft Sentinel data lake。
比较分析和数据湖层
下表比较了两个分析和 Data Lake 层及其主要特征:
| 比较 | 分析层 | 数据湖层 |
|---|---|---|
| 主要特征 | 日志(也称为热保留或交互式保留)的高性能查询和索引。 | 对大型数据卷(也称为冷存储)进行经济高效的长期保留。 |
| 最适用于 | 实时数据分析规则、警报、搜寻、工作簿和所有 Microsoft Sentinel 功能。 | - 合规和法规日志记录。 - 历史趋势分析和取证。 - 实时警报不需要的低接触数据。 |
| 引入成本 | 标准 | 最少 |
| 包含查询价格 | ✅ | ❌ |
| 优化查询性能 | ✅ |
❌ 查询速度较慢。 适合审核。 未针对实时分析进行优化。 |
| 查询功能 | 在 Microsoft Defender 和 Azure 门户以及使用 API 时具有完整的查询功能。 |
-
完整的查询功能,包括并集和联接。 - 运行计划的 KQL 或 Spark 作业。 - 使用笔记本。 |
| 完整的实时分析功能集 | ✅ | ❌ 对某些功能的限制,包括分析规则、搜寻查询、分析程序、监视列表、工作簿和 playbook。 |
| 搜索作业 | ✅ | ✅ |
| 摘要规则 | ✅ | ✅ 适用于单一表的完整 KQL,可以使用查找把分析表中的数据扩展进来 |
| 还原 | ✅ | ❌ KQL 和 Notebook 作业可以将数据提升到分析层。 |
| 数据导出 | ✅ | ❌ |
| 保留期 | Microsoft Sentinel 的 90 天,Microsoft Defender XDR 的 30 天。 可延长至两年,每月按比例收取长期保留费用。 |
默认情况下与分析保留相同。 可延长至 12 年。 |
修改表设置时会发生什么情况
可以随时切换表的层和保留设置。
将表的层级从分析更改为数据湖时,所有实时分析和狩猎查询都会停止工作。
缩短表的总保留期时,Microsoft等待 30 天才能删除数据,以便在配置中出错时还原更改并避免数据丢失。
增加总保留期时,新的保留期将应用于已引入表中且尚未删除的所有数据。
更改具有现有数据的表的分析保留设置时,更改将立即生效。
示例:
- 您的分析层中有一个表,其分析数据的保留期为 180 天。 默认情况下,总保留期也设置为 180 天。
- 将分析保留期更改为 90 天,而不会更改总保留期 180 天。
- Microsoft Sentinel 会自动从分析保留期中删除过去 90 天的数据,但将继续在数据湖中存储 90-180 天的数据。
在 Microsoft Sentinel 中管理 XDR 数据
默认情况下,Microsoft Defender XDR 在 XDR 默认层 中保留威胁搜寻数据 30 天。 默认情况下,此数据不会被引入到分析层或数据湖层中。 如果将受支持的 XDR 表的保留期延长了 30 天,则会在分析层的 Microsoft Sentinel 工作区中创建这些表,并将其镜像到数据湖层。
如果在 Azure 门户中启用 Microsoft Sentinel XDR 连接器,则安装过程中选择的表会自动引入分析层并镜像到 Data Lake 层。 默认保留期为 30 天,可将其延长至 12 年。 有关表格的列表,请参阅 Microsoft Defender XDR 与 Microsoft Sentinel 的集成。 可以通过将保留期设置为 30 天以上,将在连接器部署过程中未选择的受支持 XDR 表导入分析层,并将其镜像到 Data Lake 层。
如果未启用 Microsoft Sentinel XDR 连接器,XDR 表不会被自动引入,但仍然可以通过在 Defender 门户中将分析或数据湖层保留期设置为超过 30 天来引入它们。
可以通过在配置保留设置时选择“数据湖层”选项,仅将支持的 XDR 表引入数据湖层。 有关详细信息,请参阅 配置数据保留和分层。
通过将分析层保留期和总保留期重置为默认值 30 天,停止将数据引入分析层。 此操作将在 Azure 门户中禁用此连接器。
有关管理你的表和数据的详细信息,请参阅管理现有表和数据。
XDR 数据保留和成本
下表汇总了 Microsoft Sentinel 中不同层级的免费保留期和成本影响:
| 层 | Retention | 注释 |
|---|---|---|
| 高级搜寻(默认值) | 30 天 | 默认值,包含在 XDR 许可证中 |
| 分析层 | 90 天 | 已启用 Sentinel 的工作区的免费存储。 会产生引入费用。 |
| Data Lake | 可配置。 默认情况下,与分析层相同。 | 当总保留期与分析层保留期相同时,免费存储。 在数据湖中保留数据超出分析层保留期,或在 Data Lake 层中完全保留数据会产生额外的存储成本。 |
有关计费和成本的详细信息,请参阅了解 Microsoft Sentinel 的完整计费模型
在下列示例中,无论分析层或数据湖层的保留设置如何,至少在 30 天内都可以通过高级搜寻访问 XDR 数据。
| 分析层保留期 | 总保留期 | 分析层引入成本 | 分析层存储成本 | 数据湖层成本 |
|---|---|---|---|---|
| 默认值为 30 天 | 默认值为 30 天 | 无额外成本 | N/A | N/A |
| 90 天 | 90 天 | 分析层引入会产生成本。 | 无额外成本。 免费提供 90 天的数据保留。 | 无额外成本。 总保留期与分析层保留期匹配。 |
| 90 天 | 180 天 | 分析层引入会产生成本。 | 无额外成本;免费提供 90 天的数据保留。 | 对于在数据湖层中额外保留 90 天的数据(180 天减 90 天),会产生成本。 |
| 180 天 | 1 年 | 分析层引入会产生成本。 | 对于在分析层中额外保留 90 天的数据,会产生成本。 | 对于在数据湖层中额外保留 185 天的数据(365 天减 180 天),会产生成本。 |
| 0 天(仅限数据湖) | 5 年 | N/A | N/A | 需要支付引入数据费用和 5 年的数据湖保留费用。 |
后续步骤
了解有关以下方面的详细信息: