Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Data, která shromažďujete do Microsoft Sentinelu (SIEM) a XDR v programu Microsoft Defender, se ukládají do tabulek. Portál Microsoft Defender umožňuje spravovat dobu uchovávání a náklady na ukládání spojené s vašimi daty. Uchovávání a náklady můžete spravovat v případech, kdy:
- Nakonfigurujte datové konektory tak, aby odesílaly data do Microsoft Sentinelu nebo XDR v programu Microsoft Defender.
- Spravujte existující tabulky a data.
Tento článek vysvětluje, jak v portálu Microsoft Defender spravovat uchovávání tabulek a možnosti vrstev, abyste optimalizovali operace zabezpečení a snížili náklady v Microsoft Sentinel a Microsoft Defender XDR.
Které tabulky můžete spravovat na portálu Defender?
Tato část popisuje typy tabulek, které můžete spravovat na portálu Microsoft Defenderu.
| Typ tabulky | Popis | Příklady | Je to v pracovním prostoru Microsoft Sentinelu? |
|---|---|---|---|
| Microsoft Sentinel | Předdefinované tabulky, včetně: – Tabulky Azure, jako jsou AzureDiagnostics a SigninLogs. – Tabulky Microsoft Sentinel - Integrace Microsoft Defender XDR s Microsoft Sentinelem, které se vytvářejí ve vašem pracovním prostoru Microsoft Sentinelu, když zvýšíte dobu uchovávání analýz na dobu delší než 30 dnů. Podívejte se na typ tabulky XDR pro tabulky Defender XDR, které nejsou aktuálně podporované. |
– Tabulky Azure: AzureDiagnostics, SigninLogs– Tabulky Microsoft Sentinelu: AWSCloudTrail, SecurityAlert- Tabulky XDR: DeviceEvents,AlertInfo |
Ano |
| na míru | Tabulky, které vytvoříte ručně nebo prostřednictvím úloh v pracovním prostoru Služby Microsoft Sentinel, včetně souhrnných pravidel a tabulek výsledků úloh hledání a vlastních tabulek zdrojů dat. | Tabulky s příponami _CL_SRCH |
Ano |
| XDR | Tabulky ve výchozí úrovni XDR, které mají ve výchozím nastavení 30 dnů uchovávání analýz. Tyto tabulky můžete zobrazit, ale nemůžete je spravovat z portálu Defender. | IdentityInfo |
Ne |
Poznámka:
Základní tabulky protokolů můžete zobrazit v pracovním prostoru Služby Microsoft Sentinel z portálu Defender, ale v současnosti je můžete spravovat jenom z pracovního prostoru služby Log Analytics. Pokud chcete tyto tabulky spravovat z portálu Defender, změňte plán tabulky ze základní na analýzu v pracovním prostoru Služby Microsoft Sentinel.
Jak fungují datové vrstvy a uchovávání dat
Data v Microsoft Sentinelu můžete uchovávat v jedné ze dvou úrovní:
Analytická úroveň: Tato úroveň zpřístupňuje data pro upozorňování, proaktivní vyhledávání, sešity a všechny funkce Služby Microsoft Sentinel. Uchovává data ve dvou stavech:
- Uchovávání analýz: V tomto "horkém" stavu jsou data plně dostupná pro analýzy v reálném čase – včetně vysoce výkonných dotazů a analytických pravidel – a proaktivního vyhledávání hrozeb. Microsoft Sentinel a XDR v programu Microsoft Defender ve výchozím nastavení uchovávají data na této úrovni po dobu 30 dnů. Dobu uchovávání všech tabulek můžete prodloužit až na dva roky s poměrným měsíčním poplatkem za dlouhodobé uchovávání. Dobu uchovávání tabulek řešení Microsoft Sentinel můžete prodloužit na 90 dnů zdarma.
- Celková doba uchovávání: Ve výchozím nastavení se všechna data v analytické vrstvě zrcadlí do datového jezera po stejnou dobu uchovávání. Uchovávání dat v jezeře můžete prodloužit až nad rámec doby uchovávání pro analytiku, a to až do celkového uchovávání po dobu 12 let za nízkou cenu.
Úroveň Data Lake: V této nízkonákladové "studené" úrovni uchovává Microsoft Sentinel vaše data pouze v jezeře. Data na úrovni Data Lake nejsou k dispozici pro funkce analýzy v reálném čase a proaktivní vyhledávání hrozeb. K datům v jezeře ale můžete přistupovat vždy, když je budete potřebovat prostřednictvím úloh KQL, analyzovat trendy v průběhu času spuštěním plánovaných úloh KQL nebo Sparku a agregovat přehledy z příchozích dat v pravidelných intervalech pomocí souhrnných pravidel.
Data XDR: Ve výchozím nastavení jsou data proaktivního vyhledávání hrozeb v programu Microsoft Defender vždy k dispozici na úrovni analýzy po dobu 30 dnů. Zákazníci můžou prodloužit uchovávání těchto dat na úrovni analýzy až na 90 dní bez dalších nákladů, což je zahrnuto v licenci XDR. V tomto stavu můžete také ingestovat výhradně do vrstvy Data Lake, ale data jsou vždy k dispozici v analytické vrstvě po dobu 30 dnů.
Další informace o rozdílech mezi těmito dvěma typy uchovávání najdete v tématu Porovnání analýz a vrstev datového jezera.
Tento diagram znázorňuje komponenty uchovávání dat pro analýzy, data lake a výchozích úrovní XDR a typy tabulek, které se vztahují k jednotlivým úrovním.
Další informace o datovém jezeře Microsoft Sentinel najdete v tématu Co je datové jezero Microsoft Sentinel.
Porovnání úrovní analýzy a datového jezera
Tato tabulka porovnává dvě úrovně analýzy a datového jezera a jejich klíčové charakteristiky:
| Porovnání | Úroveň Analýzy | Vrstva úložiště Data Lake |
|---|---|---|
| Klíčové charakteristiky | Vysoce výkonné dotazování a indexování protokolů (označuje se také jako horké nebo interaktivní uchovávání). | Nákladově efektivní dlouhodobé uchovávání velkých objemů dat (označované také jako studené úložiště). |
| Nejvhodnější pro | Pravidla analýzy v reálném čase, upozorňování, proaktivní vyhledávání, sešity a všechny funkce Microsoft Sentinelu | - Dodržování předpisů a regulatorní protokolování. - Analýza historického trendu a forenzní analýza. – Málo dotyková data, která nejsou potřebná pro výstrahy v reálném čase. |
| Náklady na příjem dat | Standard | Minimální |
| Cena dotazu zahrnuta | ✅ | ❌ |
| Optimalizovaný výkon dotazů | ✅ |
❌ Pomalejší dotazy. Dobré pro auditování. Neoptimalizuje se pro analýzu v reálném čase. |
| Možnosti dotazů | Úplné možnosti dotazů na portálech Microsoft Defender a Azure Portal a pomocí rozhraní API. |
-
Úplné možnosti dotazů, včetně sjednocení a propojování. – Spusťte naplánované úlohy KQL nebo Spark. – Používejte poznámkové bloky. |
| Úplná sada analytických funkcí v reálném čase | ✅ | ❌ Omezení některých funkcí, včetně analytických pravidel, dotazů proaktivního vyhledávání, analyzátorů, seznamů ke zhlédnutí, sešitů a playbooků. |
| Úlohy hledání | ✅ | ✅ |
| Souhrnná pravidla | ✅ | ✅ Úplné KQL v jedné tabulce, kterou můžete rozšířit o data z analytické tabulky pomocí vyhledávání |
| Obnovení | ✅ | ❌ Úlohy KQL a Poznámkového bloku můžou zvýšit úroveň analýzy dat. |
| Export dat | ✅ | ❌ |
| Doba uchovávání | 90 dní pro Microsoft Sentinel, 30 dní pro Microsoft Defender XDR. Lze prodloužit až na dva roky s poměrným měsíčním poplatkem za dlouhodobé uchovávání. |
Ve výchozím nastavení je stejné jako uchovávání analýz. Lze prodloužit až na 12 let. |
Co se stane při úpravě nastavení tabulky
Nastavení úrovně a uchovávání tabulek můžete kdykoli přepnout.
Když změníte úroveň tabulky z analytiky na datové jezero, přestanou fungovat všechny analytické dotazy v reálném čase a dotazy pro vyhledávání.
Když zkrátíte celkovou dobu uchování tabulky, Microsoft před odebráním dat počká 30 dní, takže můžete změnu vrátit a vyhnout se ztrátě dat, pokud dojde k chybě v konfiguraci.
Když zvýšíte celkovou dobu uchovávání, nová doba uchovávání se vztahuje na všechna data, která byla do tabulky už ingestována a ještě nebyla odebrána.
Když změníte nastavení uchovávání analýz tabulky s existujícími daty, projeví se tato změna okamžitě.
Příklad:
- V analytické vrstvě máte tabulku s uchováváním analýz po dobu 180 dnů. Ve výchozím nastavení je celkové uchovávání nastavené také na 180 dnů.
- Uchovávání analýz změníte na 90 dnů, aniž byste změnili celkovou dobu uchovávání 180 dnů.
- Microsoft Sentinel automaticky odebere posledních 90 dnů z uchovávání analytických dat, ale nadále ukládá data, která jsou v datovém jezeře 90–180 dnů.
Správa dat XDR v Microsoft Sentinelu
XDR v programu Microsoft Defender ve výchozím nastavení uchovává data proaktivního vyhledávání hrozeb ve výchozí úrovni XDR po dobu 30 dnů. Tato data se ve výchozím nastavení neingestují do analytických nebo datových vrstev Data Lake. Pokud prodloužíte dobu uchovávání podporovaných tabulek XDR o více než 30 dní, tabulky se vytvoří ve vašem pracovním prostoru Microsoft Sentinel ve vrstvě analytických dat a jsou zrcadleny do vrstvy Data Lake.
Pokud na webu Azure Portal povolíte konektor XDR služby Microsoft Sentinel, tabulky, které vyberete během instalace, se automaticky ingestují do úrovně analýzy a zrcadlí se na vrstvu Data Lake. Výchozí doba uchovávání je 30 dní a můžete ji prodloužit až o 12 let. Seznam tabulek najdete v tématu Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem. Můžete načíst podporované tabulky XDR, které jste během nasazování konektorů nevybrali, do analytické vrstvy a zrcadlit je do vrstvy datového jezera tím, že nastavíte dobu uchovávání na více než 30 dnů.
Pokud konektor XDR služby Microsoft Sentinel nepovolíte, tabulky XDR se automaticky neingestují, ale stále je můžete ingestovat nastavením analýzy nebo uchovávání vrstvy data Lake po dobu delší než 30 dnů na portálu Defender.
Chcete-li ingestovat podporované tabulky XDR výhradně do vrstvy Data Lake, vyberte při konfiguraci nastavení uchovávání dat možnost Data lake tier. Další informace najdete v tématu Konfigurace uchovávání a vrstvení dat.
Ukončete ingestování dat do úrovně analýzy resetováním uchovávání analytické úrovně a celkového uchovávání dat na výchozí 30 dnů. Tato akce zakáže konektor na webu Azure Portal.
Další informace o správě tabulek a dat najdete v tématu Správa existujících tabulek a dat.
Uchování dat XDR a jejich náklady
Následující tabulky shrnují období uchovávání informací zdarma a náklady na různé úrovně v Microsoft Sentinelu:
| Úroveň | Retention | Poznámky |
|---|---|---|
| Pokročilé hledání (výchozí) | 30 dní | Výchozí, zahrnutý v licenci XDR |
| Úroveň Analýzy | 90 dní | Bezplatné úložiště pro pracovní prostory s podporou Služby Sentinel Platí poplatky za příjem dat. |
| Data Lake | Konfigurovatelný. Ve výchozím nastavení je to stejné jako úroveň analýzy. | Bezplatné úložiště, pokud je celkové uchovávání stejné jako uchovávání na úrovni analýzy. Uchovávání dat v datovém jezeře nad rámec doby uchovávání analytické úrovně nebo výhradně ve vrstvě datového jezera vede k dodatečným nákladům na úložiště. |
Další informace o fakturaci a nákladech najdete v tématu Vysvětlení celého modelu fakturace pro Microsoft Sentinel.
V následujících příkladech jsou data XDR k dispozici prostřednictvím rozšířeného proaktivního vyhledávání po dobu nejméně 30 dnů bez ohledu na nastavení uchovávání v analytických vrstvách nebo vrstvách Data Lake.
| Uchovávání úrovně analýzy | Celková doba uchovávání | Náklady na příjem dat na úrovni analýzy | Náklady na úložiště na úrovni analýzy | Náklady na vrstvu datového jezera |
|---|---|---|---|---|
| Výchozí hodnota 30 dnů | Výchozí hodnota 30 dnů | Žádné další náklady | N/A | N/A |
| 90 dní | 90 dní | Náklady se vztahují na zpracování analytické úrovně. | Žádné další náklady. 90 dní zdarma. | Žádné další náklady. Celkové uchovávání odpovídá uchovávání analytické úrovně. |
| 90 dní | 180 dní | Náklady se vztahují na zpracování analytické úrovně. | Žádné další náklady; 90 dní zdarma. | Náklady se vztahují na 90 dnů dalšího uchovávání data lake (180 – 90 dní). |
| 180 dní | 1 rok | Náklady se vztahují na zpracování analytické úrovně. | Náklady se vztahují na 90 dnů dalšího uchovávání úrovně analýzy. | Náklady se vztahují na 185 dnů prodlouženého uchování datového jezera (365 – 180 dní). |
| 0 dnů (pouze data lake) | 5 let | N/A | N/A | Náklady se vztahují na zpracování dat a 5 let uchovávání dat v data lake. |
Další kroky
Další informace o: