在 Microsoft Sentinel 中调整表设置

Microsoft Defender 门户提供集中化的体验，用于在 Microsoft Sentinel 和 Microsoft Defender XDR 中配置表级数据保留和层设置。 可以查看和管理保留设置，在分析和数据湖层之间进行切换，并根据运营和成本要求优化数据存储。

本文介绍如何在 Microsoft Defender 门户中为 Microsoft Sentinel 和 Defender XDR 中的表配置保留和层设置。

有关数据层和保留机制工作原理的更多信息，请参阅 在 Microsoft Sentinel 中管理数据层和保留。

先决条件

• 若要管理 Defender XDR 搜寻表，需要在 Defender 门户中加入 Microsoft Sentinel。 有关详细信息，请参阅 将 Microsoft Sentinel 连接到 Microsoft Defender 门户。

所需的权限

Microsoft Sentinel 工作区权限允许查看或管理特定Microsoft Sentinel 工作区中的表，而统一的 RBAC 权限适用于 Defender 门户中的所有Microsoft Sentinel 工作区。

有关 Defender 门户中的统一 RBAC 的详细信息，请参阅 Microsoft Defender XDR Unified 基于角色的访问控制（RBAC）。

有关 Microsoft Sentinel 工作区权限的详细信息，请参阅 Microsoft Sentinel 平台中的角色和权限。

管理数据表设置

若要在 Microsoft Defender 门户中查看和管理表设置，请执行以下步骤：

1. 从左侧导航窗格中选择 Microsoft Sentinel>配置>表 。

   “ 表” 屏幕列出了可在 Microsoft Defender 门户中管理的所有表以及每个表的设置。

   

   工作区列显示Microsoft Sentinel 工作区，其中存储Microsoft Sentinel 或自定义表。

2. 若要管理不同Microsoft Sentinel 工作区中的Microsoft Sentinel 和自定义表，请选择屏幕左上角的工作区名称以在工作区之间切换。

3. 在 “表” 屏幕上选择一个表。

   此操作将打开表详细信息的侧面板，其中包含有关表的更多信息，包括表描述、层级信息和保留详情。

   

4. 选择“管理表”。

   “ 管理表 ”屏幕允许修改当前层中的表保留设置，并根据需要更改存储层。

   

   • 分析层保留设置：

     • 分析保留期：30 天到两年。
     • 总保留期：数据湖中长达 12 年的长期存储。 如果你有 Sentinel 数据湖，则总保留期表示湖中数据的保留期，默认情况下等于分析保留期。 例如，将分析保留期设置为 6 个月，默认情况下还会保留 Data Lake 中的数据，无需额外付费。 可以将湖中的长期保留期延长，直至超过分析层的保留期。 例如，将分析保留期设置为 6 个月，总保留期设置为 1 年。 仅对超出分析保留期的持续时间（在本例中为 6 个月）收取数据湖保留费用。

   • 数据湖层级：将 保留期 设置为 30 天到 12 年之间的值。 选择 数据湖层 将数据专门存储在数据湖中。

   • 层更改：如有必要，可以根据成本管理和数据使用需求随时更改层。

     注释

     层更改不适用于所有表。 例如，某些 XDR 和 Microsoft Sentinel 解决方案表必须在分析层中可用，因为Microsoft安全服务需要这些表中的数据进行近实时分析。

   有关保留期和数据层设置的详细信息，请参阅管理 Microsoft Sentinel 中的数据层和保留期。

5. 查看警告和消息。 这些消息可帮助你了解更改表设置的重要含义。

   例如：

   • 保留期增加可能会导致数据成本增加。
   • 从分析层更改为数据湖层会导致依赖于分析数据的功能停止运行，例如：
     • 警报
     • 高级搜寻
     • 分析规则
     • 自定义检测规则

6. 选择“保存”来应用新的设置。

后续步骤

了解有关以下方面的详细信息：

• Microsoft Sentinel data lake
• Microsoft Sentinel 中的 KQL 作业