Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Data, která shromáždíte do Microsoft Sentinel (SIEM) a Microsoft Defender XDR, se ukládají do tabulek. Portál Microsoft Defender umožňuje spravovat dobu uchovávání a náklady na úložiště spojené s vašimi daty. Uchovávání a náklady můžete spravovat v případech, kdy:
- Nakonfigurujte datové konektory pro odesílání dat do Microsoft Sentinel nebo Microsoft Defender XDR.
- Správa existujících tabulek a dat
Tento článek vysvětluje, jak spravovat uchovávání tabulek a možnosti vrstvy na portálu Microsoft Defender za účelem optimalizace operací zabezpečení a snížení nákladů na Microsoft Sentinel a Microsoft Defender XDR.
Které tabulky můžete spravovat na portálu Defender?
Tato část popisuje typy tabulek, které můžete spravovat na portálu Microsoft Defender.
| Typ tabulky | Popis | Příklady | Nachází se v Microsoft Sentinel pracovním prostoru? |
|---|---|---|---|
| Microsoft Sentinel | Předdefinované tabulky, včetně: – Azure tabulek, jako jsou AzureDiagnostics a SigninLogs. - Microsoft Sentinel tabulek. - Microsoft Defender XDR integraci s Microsoft Sentinel, které se vytvoří ve vašem pracovním prostoru Microsoft Sentinel, když zvýšíte dobu uchovávání analýz nad 30 dnů. Projděte si typ tabulky XDR pro Defender XDR tabulky, které jsou aktuálně nepodporované. |
- Azure tabulek: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabulek: AWSCloudTrail,SecurityAlert- Tabulky XDR: DeviceEvents,AlertInfo |
Ano |
| Vlastní | Tabulky, které vytvoříte ručně nebo prostřednictvím úloh v pracovním prostoru Microsoft Sentinel, včetně tabulek výsledků souhrnných pravidel a úloh hledání a tabulek vlastních zdrojů dat. | Tabulky s příponami _CL nebo _SRCH |
Ano |
| XDR | Tabulky ve výchozí úrovni XDR, které mají ve výchozím nastavení 30denní uchovávání analýz. Tyto tabulky můžete zobrazit, ale nemůžete je spravovat z portálu Defender. | IdentityInfo |
Ne |
Poznámka
Tabulky základních protokolů můžete v pracovním prostoru Microsoft Sentinel zobrazit na portálu Defender, ale aktuálně je můžete spravovat jenom z pracovního prostoru služby Log Analytics. Pokud chcete tyto tabulky spravovat z portálu Defender, změňte plán tabulky ze základního na analytický v pracovním prostoru Microsoft Sentinel.
Jak fungují datové vrstvy a jejich uchovávání
Data v Microsoft Sentinel můžete uchovávat v jedné ze dvou úrovní:
Analytická úroveň: Tato úroveň zpřístupňuje data pro upozorňování, proaktivní vyhledávání, sešity a všechny funkce Microsoft Sentinel. Uchovává data ve dvou stavech:
- Uchovávání analýz: V tomto "horkém" stavu jsou data plně dostupná pro analýzy v reálném čase – včetně vysoce výkonných dotazů a analytických pravidel – a proaktivního vyhledávání hrozeb. Ve výchozím nastavení Microsoft Sentinel a Microsoft Defender XDR uchovávat data v této vrstvě po dobu 30 dnů. Dobu uchovávání všech tabulek můžete prodloužit až na dva roky s průběžným měsíčním poplatkem za dlouhodobé uchovávání. Dobu uchovávání Microsoft Sentinel tabulek řešení můžete zdarma prodloužit na 90 dnů.
- Celkové uchovávání: Ve výchozím nastavení se všechna data v analytické vrstvě zrcadlí do datového jezera po stejnou dobu uchovávání. Uchovávání dat v jezeře můžete prodloužit nad rámec uchovávání analýz, a to až na 12 let celkového uchovávání s nízkými náklady.
Úroveň Data Lake: V této nízkonákladové "studené" vrstvě Microsoft Sentinel uchovává vaše data jenom v jezeře. Data na úrovni Data Lake nejsou k dispozici pro funkce analýzy v reálném čase a proaktivního vyhledávání hrozeb. Kdykoli je ale budete potřebovat, můžete k datům v jezeře přistupovat prostřednictvím úloh KQL, analyzovat trendy v průběhu času spuštěním plánovaných úloh KQL nebo Sparku a agregovat přehledy z příchozích dat v pravidelném tempu pomocí souhrnných pravidel.
Data XDR: Ve výchozím nastavení jsou data Microsoft Defender XDR proaktivního vyhledávání hrozeb vždy k dispozici v analytické vrstvě po dobu 30 dnů. Uchovávání těchto dat v analytické vrstvě můžete prodloužit až na 90 dnů, což by znamenalo náklady na příjem dat, ale úložiště je bezplatné. Při prodloužení analýzy nad 90 dnů se také účtují náklady na úložiště. Můžete také ingestovat výhradně do vrstvy Data Lake, ale data jsou vždy k dispozici v analytické vrstvě po dobu 30 dnů. Příjem dat XDR přímo do vrstvy Data Lake je cenově výhodnější, ale zahrnuje náklady na příjem dat, úložiště a zpracování. V této možnosti zákazníci stále získají data za 30 dní na úrovni Analytics bez dalších poplatků.
Další informace o rozdílech mezi těmito dvěma typy uchovávání informací najdete v tématu Porovnání úrovní analýzy a data lake.
Tento diagram znázorňuje komponenty uchovávání informací výchozích úrovní analýzy, Data Lake a XDR a typy tabulek, které se na jednotlivé vrstvy vztahují:
Další informace o Microsoft Sentinel data lake najdete v tématu Co je Microsoft Sentinel data lake.
Porovnání analytických a datových jezer
Tato tabulka porovnává dvě úrovně Analýzy a Data Lake a jejich klíčové charakteristiky:
| Porovnání | Analytická úroveň | Úroveň Data Lake |
|---|---|---|
| Klíčové charakteristiky | Vysoce výkonné dotazování a indexování protokolů (označované také jako horké nebo interaktivní uchovávání). | Cenově efektivní dlouhodobé uchovávání velkých objemů dat (označované také jako studené úložiště). |
| Nejlepší pro | Pravidla analýzy v reálném čase, upozorňování, proaktivní vyhledávání, sešity a všechny funkce Microsoft Sentinel. | - Dodržování předpisů a protokolování právních předpisů. - Analýza historických trendů a forenzní analýza. – Nízkodotykové údaje, které nejsou potřeba pro výstrahy v reálném čase. |
| Náklady na příjem dat | Standard | Minimální |
| Zahrnutá cena dotazu | ✅ | ❌ |
| Optimalizovaný výkon dotazů | ✅ |
❌ Pomalejší dotazy. Vhodné pro auditování. Není optimalizované pro analýzu v reálném čase. |
| Možnosti dotazů | Úplné možnosti dotazů na portálech Microsoft Defender a Azure a pomocí rozhraní API |
-
Úplné možnosti dotazů , včetně sjednocení a spojení – Spusťte naplánované úlohy KQL nebo Spark. - Používejte poznámkové bloky. |
| Úplná sada analytických funkcí v reálném čase | ✅ | ❌ Omezení některých funkcí, včetně analytických pravidel, dotazů proaktivního vyhledávání, analyzátorů, seznamů ke zhlédnutí, sešitů a playbooků |
| Hledat úlohy | ✅ | ✅ |
| Souhrnná pravidla | ✅ | ✅ Úplný KQL u jedné tabulky, který můžete rozšířit o data z analytické tabulky pomocí vyhledávání |
| Obnovení | ✅ | ❌ Úlohy KQL a Poznámkového bloku můžou zvýšit úroveň dat na úroveň analýzy. |
| Export dat | ✅ | ❌ |
| Doba uchovávání | 90 dní pro Microsoft Sentinel, 30 dní pro Microsoft Defender XDR. S průběžným měsíčním poplatkem za dlouhodobé uchovávání se dá prodloužit až na dva roky. |
Ve výchozím nastavení je to stejné jako uchovávání analýz. Lze prodloužit až na 12 let. |
Co se stane, když změníte nastavení tabulky
Úroveň tabulky a nastavení uchovávání informací můžete kdykoli přepnout.
Když změníte výchozí XDR tabulky úrovně z analýzy na Data Lake, přestanou fungovat všechny dotazy analýzy a proaktivní vyhledávání v reálném čase.
Když zkrátíte celkové uchovávání tabulky, Microsoft před odebráním dat počká 30 dní, abyste mohli změnu vrátit zpět a vyhnout se ztrátě dat, pokud jste v konfiguraci udělali chybu.
Když zvýšíte celkové uchovávání, nová doba uchovávání se použije na všechna data, která už byla ingestována do tabulky a ještě nebyla odebrána.
Když změníte nastavení uchovávání analýz v tabulce s existujícími daty, projeví se tato změna okamžitě.
Příklad:
- Na úrovni analýzy máte tabulku se 180denním uchováváním analýz. Ve výchozím nastavení je celková doba uchovávání také nastavená na 180 dnů.
- Dobu uchovávání analýz změníte na 90 dnů, aniž byste změnili celkovou dobu uchovávání 180 dnů.
- Microsoft Sentinel automaticky odebere data za posledních 90 dnů z uchovávání analýz, ale dál ukládá data, která jsou 90–180 dnů v datovém jezeře.
Správa dat XDR v Microsoft Sentinel
Ve výchozím nastavení Microsoft Defender XDR uchovává data proaktivního vyhledávání hrozeb ve výchozí úrovni XDR po dobu 30 dnů. Tato data se ve výchozím nastavení neingestují do analytických úrovní nebo datových jezer. Pokud prodloužíte dobu uchovávání podporovaných tabulek XDR nad 30 a až 90 dnů, budou se účtovat Sentinel náklady na příjem dat, ale žádné další náklady na úložiště. Tabulky se vytvoří ve vašem pracovním prostoru Microsoft Sentinel na úrovni analýzy a zrcadlí se do vrstvy Data Lake.
Pokud v Azure Portal povolíte konektor Microsoft Sentinel XDR, tabulky, které vyberete během instalace, se automaticky ingestují do analytické vrstvy a zrcadlí se na vrstvu Data Lake. Výchozí doba uchovávání je 30 dnů a můžete ji prodloužit až na 12 let. Seznam tabulek najdete v tématu integrace Microsoft Defender XDR s Microsoft Sentinel. Podporované tabulky XDR, které jste nevybrali během nasazování konektoru, můžete ingestovat do analytické vrstvy a zrcadlit je do vrstvy Data Lake nastavením uchovávání na více než 30 dnů.
Pokud konektor Microsoft Sentinel XDR nepovolíte, tabulky XDR se neingestují automaticky, ale můžete je dál ingestovat nastavením analýzy nebo uchovávání úrovně Data Lake na více než 30 dnů na portálu Defender.
Můžete se rozhodnout ingestovat podporované tabulky XDR výhradně do vrstvy Data Lake tak, že při konfiguraci nastavení uchovávání vyberete možnost Úroveň Data Lake . Další informace najdete v tématu Konfigurace uchovávání a vrstvení dat.
Zastavte ingestování dat do analytické vrstvy resetováním uchovávání úrovně analýzy a celkového uchovávání na výchozích 30 dnů. Tato akce zakáže konektor v Azure Portal.
Další informace o správě tabulek a dat najdete v tématu Správa existujících tabulek a dat.
Uchovávání dat XDR a náklady
Následující tabulky shrnují bezplatné doby uchovávání informací a dopad na náklady na různé úrovně v Microsoft Sentinel:
| Vrstvy | Uchovávání | Poznámky |
|---|---|---|
| Rozšířené proaktivní vyhledávání (výchozí) | 30 dní | Výchozí, součástí licence XDR |
| Analytická úroveň | 31-90 dní | Bezplatné úložiště pro pracovní prostory s podporou Sentinel Data se zrcadlí do datového jezera. Sentinel se účtují poplatky za příjem dat. |
| Data Lake | Konfigurovatelné. Ve výchozím nastavení je to stejné jako úroveň analýzy. | Bezplatné úložiště, pokud je celkové uchovávání stejné jako uchovávání na úrovni analýzy. Za uchovávání dat v datovém jezeře nad rámec doby uchovávání úrovně analýzy se účtují náklady na úložiště Data Lake. Příjem dat přímo na úroveň Data Lake způsobuje náklady na příjem dat, úložiště a zpracování. |
Další informace o fakturaci a nákladech najdete v tématu Vysvětlení úplného modelu fakturace pro Microsoft Sentinel
V následujících příkladech jsou data XDR dostupná prostřednictvím rozšířeného proaktivního vyhledávání po dobu nejméně 30 dnů bez ohledu na nastavení uchovávání informací v analytických vrstvách nebo datových jezerech.
| Uchovávání úrovně analýzy | Celková doba uchovávání | Náklady na příjem dat na úrovni analýzy | Náklady na úložiště úrovně analýzy | Náklady na úroveň Data Lake |
|---|---|---|---|---|
| Výchozí hodnota 30 dnů | Výchozí hodnota 30 dnů | Žádné další náklady | Není k dispozici. | Není k dispozici. |
| 90 dní | 90 dní | Na příjem dat úrovně analýzy se vztahují náklady. | Žádné další náklady. 90 dní v ceně. | Žádné další náklady. Celkové uchovávání odpovídá uchovávání na úrovni analýzy. |
| 90 dní | 180 dní | Na příjem dat úrovně analýzy se vztahují náklady. | Žádné další náklady; 90 dní v ceně. | Náklady se vztahují na 90 dnů dalšího uchovávání data lake (180 až 90 dnů). |
| 180 dní | 1 rok | Na příjem dat úrovně analýzy se vztahují náklady. | Náklady se vztahují na 90 dnů uchovávání dalších úrovní analýzy. | Další uchovávání data lake se vztahuje na 185 dnů (365 až 180 dnů). |
| 0 dní (jenom Data Lake) | 5 let | Není k dispozici. | Není k dispozici. | Náklady se vztahují na příjem dat a 5 let uchovávání data lake. |
Další kroky
Další informace o: