您收集到 Microsoft Sentinel(SIEM)和 Microsoft Defender XDR 的數據會儲存在資料表中。 Microsoft Defender 入口網站可讓您管理保留期間和與數據相關聯的存放區成本。 您可以在下列情況下管理保留和成本:
- 設定資料連接器 將資料傳送至 Microsoft Sentinel 或 Microsoft Defender XDR。
- 管理您現有的資料表和資料。
本文說明如何在 Microsoft Defender 入口網站中管理資料表保留和分層選項,以優化安全性作業並降低 Microsoft Sentinel 與 Microsoft Defender XDR 的成本。
您可以在 Defender 入口網站中管理哪些資料表?
本節說明您可以在 Microsoft Defender 入口網站中管理的資料表類型。
![螢幕擷取畫面,顯示 Defender 入口網站中的 [資料表管理] 畫面。](media/manage-data-overview/view-table-properties-microsoft-defender-portal.png#lightbox)
| 數據表類型 | 說明 | 範例 | 是否在 Microsoft Sentinel 工作區? |
|---|---|---|---|
| Microsoft Sentinel | 內建表格,包括: - Azure 資料表,例如 AzureDiagnostics 和 SigninLogs。 - Microsoft Sentinel 資料表。 - Microsoft Defender XDR 與 Microsoft Sentinel 的整合,這會在您增加分析保留期間超過 30 天之後,在您的 Microsoft Sentinel 工作區中建立。 請參閱目前不支援的 Microsoft Defender 全面偵測回應資料表的延伸偵測及回應資料表類型。 |
- Azure 資料表: AzureDiagnostics, SigninLogs- Microsoft Sentinel 資料表: AWSCloudTrail, SecurityAlert- XDR 表格: DeviceEvents、AlertInfo |
是的 |
| 自定義 | 您手動或透過 Microsoft Sentinel 工作區中的作業建立的資料表,包括摘要規則和搜尋作業結果資料表,以及自訂資料來源資料表。 | 帶有 _CL 或 _SRCH 後綴的表格。 |
是的 |
| XDR | XDR 預設層中的資料表,預設有 30 天的分析保留期。 您可以檢視這些數據表,但無法從 Defender 入口網站管理它們。 | IdentityInfo |
否 |
備註
您可以從 Defender 入口網站檢視 Microsoft Sentinel 工作區中的基本記錄數據表,但您目前只能從 Log Analytics 工作區管理它們。 若要從 Defender 入口網站管理這些數據表,請在 Microsoft Sentinel 工作區中將數據表計劃從基本變更為分析。
資料層級和資料保存的運作方式
您可以在 Microsoft Sentinel 中保留兩個層級之一的資料:
分析層:此層可讓資料可用於警示、搜捕、活頁簿和所有 Microsoft Sentinel 功能。 它會以兩種狀態保留資料:
- 分析保留:在此「經常性存取層」狀態中,資料完全可供即時分析使用,包括高效能查詢和分析規則,以及威脅搜捕。 根據預設,Microsoft Sentinel 和 Microsoft Defender XDR 會在此層中保留資料 30 天。 您可以將所有資料表的保留期延長至最多兩年,並按比例按比例收取每月長期保留費用。 您可以免費將 Microsoft Sentinel 解決方案資料表的保留期間延長至 90 天。
- 總保留:根據預設,分析層中的所有資料都會鏡像至資料湖,以取得相同的保留期間。 您可以將資料在湖中的保留期延長到分析保留期之外,以低成本獲得長達 12 年的總保留期。
資料湖層:在此低成本的「冷」層中,Microsoft Sentinel 只會將您的資料保留在湖中。 資料湖層中的資料不可用於即時分析功能和威脅搜捕。 不過,您可以在需要時透過 KQL 作業存取湖中的資料、執行排程的 KQL 或 Spark 作業來分析一段時間內的趨勢,以及使用摘要規則以定期步調彙總傳入資料的深入解析。
XDR 資料:預設情況下,Microsoft Defender XDR 威脅狩獵資料在分析層級中會持續提供 30 天。 客戶可在分析層級將這些資料的保留期限延長至最多 90 天,且不含額外費用。 您也可以僅內嵌資料到資料湖分層,但在此狀態下,分析分層的資料可持續使用 30 天。
如需瞭解這兩種數據保留類型之間的差異,請參閱 比較數據分析和資料湖層。
此圖顯示分析、資料湖和 XDR 預設層的保留元件,以及適用於每個層的資料表類型:
如需 Microsoft Sentinel 資料湖的詳細資訊,請參閱 什麼是 Microsoft Sentinel 資料湖。
比較分析和資料湖層
下表比較了兩個分析和資料湖層及其主要特性:
| 比較 | 分析層 | 資料湖層 |
|---|---|---|
| 主要特性 | 記錄的高效能查詢和編製索引 (也稱為經常性存取層或互動式保留)。 | 經濟高效的長期保留大量資料 (也稱為冷儲存)。 |
| 適用對象 | 即時分析規則、警示、搜捕、活頁簿,以及所有Microsoft Sentinel 功能。 | - 合規性和法規記錄。 - 歷史趨勢分析和取證。 - 實時警示不需要的低觸控資料。 |
| 擷取成本 | 標準 | 最小 |
| 包含查詢價格 | ✅ | ❌ |
| 最佳化查詢效能 | ✅ |
❌ 速度緩慢的查詢。 適用於稽核。 未針對即時分析最佳化。 |
| 查詢功能 | Microsoft Defender 和 Azure 入口網站中的完整查詢功能,以及使用 API。 |
-
完整查詢功能,包括聯集和聯結。 - 執行排程的 KQL 或 Spark 作業。 - 使用筆記本。 |
| 全套即時分析功能 | ✅ | ❌ 某些功能的限制,包括分析規則、搜捕查詢、剖析器、監看清單、活頁簿和劇本。 |
| 搜尋作業 | ✅ | ✅ |
| 摘要規則 | ✅ | ✅ 單一資料表上的完整 KQL,您可以使用查閱從分析資料表擴充資料 |
| 恢復 | ✅ | ❌ KQL 和 Notebook 的工作可以將資料提升到分析層級。 |
| 資料匯出 | ✅ | ❌ |
| 保留期限 | Microsoft Sentinel 為 90 天,Microsoft Defender XDR 為 30 天。 最多可延長至兩年,需支付按比例計算的每月長期保留費用。 |
預設與分析保留相同。 可延長至長達 12 年。 |
當您修改表格設定時會發生什麼事
您可以隨時切換資料表的層級和保留設定。
當您將資料表的層級從分析變更為資料湖時,所有即時分析和搜尋查詢會停止運作。
當您縮短資料表的總保留期時,Microsoft 會等候 30 天,然後再移除資料,因此您可以還原變更,並避免在設定錯誤時遺失資料。
當您延長總保留期間時,新的保留期間會套用至已擷取至資料表且尚未移除的所有資料。
當您使用現有資料變更資料表的分析保留設定時,變更會立即生效。
範例:
- 您在分析層中有一個資料表,分析保留期為 180 天。 依預設,「保留總計」也設定為 180 天。
- 您可以將分析保留期變更為 90 天,而不變更 180 天的總保留期間。
- Microsoft Sentinel 會自動移除分析保存中最後 90 天的資料,但仍會將 90-180 天的資料儲存在資料湖中。
在 Microsoft Sentinel 中管理 XDR 資料
預設情況下,Microsoft Defender XDR 會將威脅狩獵資料保留在 XDR 預設層 級 30 天。 根據預設,此資料不會被導入至分析或資料湖層。 如果您將支援的 XDR 資料表的保留期間延長至 30 天以上,則會在分析層的 Microsoft Sentinel 工作區中建立資料表,並鏡像至資料湖層。
如果你在 Azure 入口網站啟用 Microsoft Sentinel XDR 連接器,設定時選擇的資料表會自動匯入分析層級,並鏡像到資料湖層級。 預設保留期限為30天,且可延長至12年。 關於表格列表,請參見 Microsoft Defender XDR 與 Microsoft Sentinel 的整合。 你可以將在連接器部署時未選擇的支援 XDR 資料表匯入分析層,並透過設定保留期超過 30 天,將它們同步到資料湖層。
如果您未啟用 Microsoft Sentinel XDR 連接器,不會自動擷取 XDR 資料表,但仍然可以在 Defender 入口網站中設定分析或資料湖分層保留超過 30 天來內嵌。
你可以在設定保留設定時選擇 資料湖層級 選項,將支援的 XDR 資料表專門匯入資料湖層級。 欲了解更多資訊,請參閱「設定資料保留與分層」。
將分析層保留和總保留期重設為預設 30 天,以停止將資料擷取到分析層。 此動作會使 Azure 入口網站中的連接器失效。
如需管理資料表和資料的詳細資訊,請參閱 管理現有的資料表和資料。
XDR 資料保留和成本
下表摘要說明 Microsoft Sentinel 中不同層級的免費保留期間和成本影響:
| 層 | Retention | 註釋 |
|---|---|---|
| 進階搜捕 (預設) | 30 天 | 預設值,包含在 XDR 授權中 |
| 分析層 | 90 天 | 啟用 Sentinel 的工作區的免費儲存空間。 需要支付擷取費用。 |
| Data Lake | 可配置。 根據預設,與分析層相同。 | 當保留期總計與分析層保留期相同時,提供免費儲存空間。 在資料湖中保留資料超過分析層保留期限,或僅在資料湖層保留資料,將產生額外的儲存成本。 |
如需計費和成本的詳細資訊,請參閱 了解 Microsoft Sentinel 的完整計費模型
在下列範例中,XDR 資料可透過進階搜捕至少 30 天可供使用,不論分析層或資料湖層中的保留期設定為何。
| 分析層保留期 | 總保留率 | Analytics 層導入成本 | 分析層儲存成本 | 資料湖層成本 |
|---|---|---|---|---|
| 30 天預設設定 | 30 天預設設定 | 無額外費用 | N/A | N/A |
| 90 天 | 90 天 | 分析層擷取會產生費用。 | 沒有額外費用。 包括 90 天免費。 | 沒有額外費用。 總保留率符合分析層保留率。 |
| 90 天 | 180 天 | 分析層擷取會產生費用。 | 無需額外費用;包括 90 天免費。 | 需要支付額外資料湖保留期 90 天的費用 (180 天 - 90 天)。 |
| 180 天 | 1 年 | 分析層擷取會產生費用。 | 為保留分析等級 90 天,需要支付額外費用。 | 額外增加的資料湖保留期為185天(從365天減去180天),因此需要支付費用。 |
| 0日(僅限資料湖) | 5 年 | N/A | N/A | 資料擷取和資料湖保留 5 年的費用都會被收取。 |
後續步驟
深入瞭解: