在收集、儲存和處理資料之後,相容性可能會成為一項重要的設計需求,對您的 Microsoft Sentinel 架構產生重大影響。 驗證和證明誰在所有狀況下都能存取哪些資料的能力,是許多國家和地區的重要資料主權需求,而在 Microsoft Sentinel 工作流程中評估風險並取得深入解析,對許多客戶來說更是優先事項。
本文藉由說明 Microsoft Sentinel 資料的儲存位置,協助您符合合規性需求。
這很重要
根據 21Vianet 張貼的公告,所有 Microsoft Sentinel 功能將於 2026 年 8 月 18 日在 21Vianet 區域營運的 Azure 中正式淘汰。 由於即將停用,客戶無法再將新的訂用帳戶加入該服務。
我們建議客戶與 21Vianet 所營運的 Microsoft Azure 客戶代表合作,以評估此淘汰對其自身作業的影響。
收集的資料
Microsoft Sentinel 會收集下列資料類型:
- 未經處理資料,例如從連線 Microsoft 服務和合作夥伴系統收集的事件資料。 來自多個雲端和來源的資料會串流至與 Microsoft Sentinel 相關聯的客戶 Azure Log Analytics 工作區,該工作區位於客戶租用戶的訂用帳戶下。 這種方法可讓客戶選擇區域和保留和刪除原則。
- 已處理的資料,例如事件、警示等等。
- 設定資料,例如連接器設定、規則等等。
資料儲存位置
服務所使用的資料,包括客戶資料,可能會在下列位置儲存及處理:
| 數據類型 | Location |
|---|---|
| 未經處理資料 | 儲存在與 Microsoft Sentinel 相關聯的 Azure Log Analytics 工作區相同的區域中。 如需詳細資訊,請參閱支援的區域 (英文)。 未經處理資料會在下列其中一個位置進行處理: - 針對位於歐洲的 Log Analytics 工作區,會在歐洲處理客戶資料。 - 針對位於以色列的 Log Analytics 工作區,會在以色列處理客戶資料。 - 針對位於任何 China 21Vianet 區域的 Log Analytics 工作區,會在 China 21Vianet 處理客戶資料。 - 針對位於其他任何區域的工作區,會在美國區域處理客戶資料。 |
| 已處理的資料和設定資料 | - Microsoft Sentinel 上線至 Defender 入口網站時,已處理的資料和設定資料可能會儲存於 Microsoft Defender XDR 區域並加以處理。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應中的資料安全性和保留。 - 當 Microsoft Sentinel 未上線至 Defender 入口網站時,會使用與未經處理資料相同的方法來儲存和處理已處理的資料和設定資料。 |
支援的區域
下表顯示支援 Microsoft Sentinel SIEM 及資料湖的區域。
| Continent | Country/Region | SIEM 支援的區域 | 資料湖支援區域 |
|---|---|---|---|
| 北美洲 | Canada | • 加拿大中部 • 加拿大東部 |
• 加拿大中部 |
| 美國 | • 美國中部 • 美國東部 • 美國東部 2 • 美國東部 2 EUAP • 美國中北部 • 美國中南部 • 美國西部 • 美國西部 2 • 美國西部 3 • 美國中西部 Azure Government • US Gov 亞利桑那州 • US Gov 維吉尼亞州 • USNat 東部 • USNat 西部 • USSec 東部 • USSec 西部 |
• 美國中部 • 美國東部 • 美國東部 2 • 美國中南部 • 美國西部 2 |
|
| 南美洲 | Brazil | • 巴西南部 • 巴西東南部 |
|
| 亞洲和中東 | • 東亞 • 東南亞 |
• 東南亞 | |
| 中國世紀互聯 | • 中國東部 2 • 中國北部 3 |
||
| India | • 印度中部 • Jio 印度西部 • Jio 印度中部 |
• 印度中部 | |
| Israel | • 以色列中部 | • 以色列中部 | |
| Japan | • 日本東部 • 日本西部 |
• 日本東部 | |
| Korea | • 南韓中部 • 南韓南部 |
||
| Qatar | • 卡達中部 | ||
| UAE | • 阿拉伯聯合大公國中部 • 阿拉伯聯合大公國北部 |
||
| Europe | • 北歐 • 西歐 |
• 北歐 • 西歐 |
|
| France | • 法國中部 • 法國南部 |
• 法國中部 | |
| Germany | • 德國中西部 | ||
| Italy | • 義大利北部 | ||
| Norway | • 挪威東部 • 挪威西部 |
||
| Sweden | • 瑞典中部 | ||
| Switzerland | • 瑞士北部 • 瑞士西部 |
• 瑞士北部 | |
| UK | • 英國南部 • 英國西部 |
• 英國南部 | |
| Australia | Australia | • 澳大利亞中部 澳大利亞中部 2 • 澳大利亞東部 • 澳大利亞東南部 |
• 澳大利亞東部 |
| Africa | 南非 | • 南非北部 |
Note
鑑於公開預覽版中的高度客戶需求,在正式發行時,我們正在將 Microsoft Sentinel 資料湖的可用性擴展到其他區域。 這些新區域將在未來幾週內逐步推出。
這很重要
Microsoft Sentinel 資料湖必須部署在與相關主要 Sentinel 工作空間相同的 Azure 區域。
資料保留
Microsoft Sentinel 的資料會保留到下列日期的最早日期為止:
- 客戶從工作區中移除 Microsoft Sentinel
- 根據客戶所設定的保留原則
在那段時間之前,客戶一律可以刪除其資料。
客戶資料會保留,且在授權處於寬限期或暫停模式時可供使用。 在此期間結束時,不晚於合約終止或到期後的 90 天,資料會從 Microsoft 系統清除,使其無法復原。
Microsoft Sentinel 的資料共用
Microsoft Sentinel 可能會在下列 Microsoft 產品中共用資料,包括客戶資料:
- Microsoft Defender 全面偵測回應
- Azure 日誌分析
相關內容
如需詳細資訊,請參閱
- Azure 區域的詳細資料,在設計工作區結構時很有用。
- Microsoft Sentinel 的商務持續性和災害復原