Microsoft Sentinel 中的日誌保留等級

針對連線至 Defender 的 Microsoft Sentinel 工作區，必須從 Defender 入口網站中的新資料表管理體驗完成階層處理和保留管理。 針對未連結的 Microsoft Sentinel 工作區，請繼續使用下述體驗來管理工作區中的資料。

記錄收集與保留有兩個對立層面，對於威脅偵測方案成功極為重要。 一方面，不妨將收集的記錄來源數目最大化，才能擁有最全面的安全性涵蓋範圍。 另一方面，您必須將擷取所有資料所產生的成本降到最低。

這些對立的需求需要善用記錄管理策略，在資料可存取性、查詢效能和儲存體成本之間取得平衡。

本文討論用來儲存和存取資料之資料類別和保留狀態。 它也說明 Microsoft Sentinel 提供的記錄層級，可讓您打造記錄管理和保留策略。

內嵌資料的類別

Microsoft 建議將內嵌至 Microsoft Sentinel 的資料分為兩個一般類別：

• 主要安全性資料是包含重要安全性數值的資料。 這項資料用於即時主動監視、排程的警示以及分析，可偵測安全性威脅。 資料必須以近乎即時的方式，備妥供所有 Microsoft Sentinel 體驗使用。

• 次要安全性資料是補充資料，通常位於大量的詳細資訊記錄。 此資料的安全性價值有限，但是為偵測和調查提供的豐富性和內容更高，有助於描繪安全性事件全貌。 它不必隨時可用，但應該可視需要以隨需方式適量供存取。

主要安全性資料

此類別包含的記錄，為貴組織保留了關鍵的安全性價值。 安全作業的主要安全資料使用案例包括：

• 頻繁監視。 威脅偵測 (分析) 規則以頻繁定期或近乎即時的方式在此資料執行。

• 隨需搜捕。 複雜的查詢會在此資料執行，以執行互動式高效能的安全性威脅搜捕。

• 相互關聯。 這些來源的資料與其他主要安全性資料來源的資料相互關聯，以偵測威脅並構建攻擊案例。

• 一般報告。 這些來源的資料隨時可供編譯組織安全性健康情況的一般報告，適用於安全性和一般決策者。

• 行為分析。 這些來源的資料用於為使用者和裝置組建基準行為設定檔，讓您將異常行為識別為可疑。

主要資料來源的一些範例包括：

• 來自防毒或企業偵測與回應 （EDR） 系統的記錄
• 驗證記錄
• 來自雲端平台的稽核追蹤
• 威脅情報摘要
• 來自外部系統的警示

包含主要安全性資料的記錄應該使用 分析層來儲存。

次要安全性資料

此類別包含的記錄，其個別安全性值有限，但對於提供安全性事件或缺口的全貌而言非常重要。 一般而言，這些記錄大量且可能提供詳細資訊。 此資料的安全性作業使用案例包括下列各項：

• 威脅情報。 主要資料可根據入侵指標 (IoC) 清單或攻擊指標 (IoA) 清單接受檢查，快速輕鬆偵測威脅。

• 臨機操作搜捕/調查。 資料可供以互動方式查詢 30 天，協助對威脅搜捕和調查進行重要分析。

• 大規模搜尋。 數據可以 PB 為單位在背景擷取及搜尋，同時以最少的處理方式高效儲存。

• 透過 KQL 作業進行摘要。 將大量日誌彙總為彙總資訊，並將結果儲存在分析層中。

次要資料記錄來源的部分範例包括，雲端儲存空間存取記錄、NetFlow 記錄、TLS/SSL 憑證記錄、防火牆記錄、Proxy 記錄和 IoT 記錄。

針對包含次要安全性資料的記錄，請使用 Microsoft Sentinel 資料湖，其設計目的是為進階安全性和合規性案例提供增強的延展性、彈性和整合功能。

日誌管理層級

Microsoft Sentinel 提供兩種不同的記錄儲存層或類型，以容納這些擷取資料類別。

• 分析層計劃旨在存儲主要安全數據，並使其能夠輕鬆、持續地以高性能訪問。

• 資料湖層經過最佳化，可在較長時間內以經濟高效的方式儲存次要安全資料，同時保持可存取性。

分析層

根據預設， 分析層 會將資料保持 在互動式保留 狀態 90 天 ，最多可延伸兩年。 這種互動式狀態雖然昂貴，但可讓您以無限制的方式查詢資料，而且效能很高，每次查詢都不收費。

資料湖層

Microsoft Sentinel 資料湖是完全受控的新式資料湖，可大規模統一和保留安全性資料，從而跨多種模式和 AI 代理程式支援的威脅偵測進行進階分析。 它使安全團隊能夠調查長期威脅、豐富警報並使用數月的數據建立行為基準。

當總保留時間設定為長於分析層保留時間，或當分析層保留期間結束時，儲存在分析層保留期間之外的資料仍可繼續在資料湖層中存取。

相關內容

• 若要深入瞭解 Microsoft Sentinel 資料湖，請參閱 Microsoft Sentinel 資料湖。
• 若要將資料載入至 Microsoft Sentinel 資料湖，請參閱 將資料載入至 Microsoft Sentinel 資料湖。