Datenaufbewahrung und -freigabe in Microsoft Defender for IoT
Microsoft Defender for IoT-Sensoren erlernen eine Baseline Ihres Netzwerkdatenverkehrs während des ersten Lernzeitraums nach der Bereitstellung. Diese gelernte Basislinie wird auf Ihren Sensoren auf unbestimmte Zeit gespeichert.
Defender for IoT speichert auch andere Daten im Azure-Portal, in OT-Netzwerksensoren und in lokale Verwaltungskonsolen.
Jeder Speicherort bietet eine bestimmte Speicherkapazität und Aufbewahrungszeiten. In diesem Artikel wird beschrieben, in welchem Umfang und wie lange die einzelnen Datentypen an jedem Speicherort gespeichert werden, bevor sie entweder gelöscht oder überschrieben werden.
Gerätedatenaufbewahrungszeiträume
In der folgenden Tabelle ist aufgeführt, wie lange Gerätedaten an jedem Defender for IoT-Speicherort gespeichert werden.
| Speichertyp | Details |
|---|---|
| Azure portal | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten Ihrer IoT-Geräte mit dem Gerätebestand für Organisationen. |
| OT-Netzwerksensor | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten Ihres OT-Gerätebestands über eine Sensorkonsole. |
| Lokale Verwaltungskonsole | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten des OT-Gerätebestands über eine lokale Verwaltungskonsole. |
Warnung zur Datenaufbewahrung
In der folgenden Tabelle ist aufgeführt, wie lange Warnungsdaten am jeweiligen Defender for IoT-Speicherort gespeichert werden. Warnungsdaten werden wie aufgeführt gespeichert, unabhängig vom Status der Warnung und ob sie erkannt oder stummgeschaltet wurde.
| Speichertyp | Details |
|---|---|
| Azure portal | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen über das Azure-Portal. |
| OT-Netzwerksensor | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Filtern und Verwalten von Warnungen. |
| Lokale Verwaltungskonsole | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Anzeigen von Warnungen in der lokalen Verwaltungskonsole. |
OT-Warnung zur PCAP-Datenaufbewahrung
In der folgenden Tabelle ist aufgeführt, wie lange PCAP-Daten am jeweiligen Defender for IoT-Speicherort gespeichert werden.
| Speichertyp | Details |
|---|---|
| Azure portal | PCAP-Dateien stehen im Azure-Portal zum Download zur Verfügung, solange sie vom OT-Netzwerksensor gespeichert werden. Nach dem Herunterladen werden die Dateien 48 Stunden lang im Azure-Portal zwischengespeichert. Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten. |
| OT-Netzwerksensor | Abhängig von der Speicherkapazität des Sensors, die für das Speichern von PCAP-Dateien zugeordnet wurde, was durch sein Hardwareprofil bestimmt wird: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Wenn ein Sensor seine maximale Speicherkapazität überschreitet, wird die älteste PCAP-Datei gelöscht, um die neueste speichern zu können. Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten und Vorkonfigurierte physische Appliances für die OT-Überwachung. |
| Lokale Verwaltungskonsole | PCAP-Dateien werden nicht in der lokalen Verwaltungskonsole gespeichert und können über sie nur mithilfe eines direkten Links zum OT-Sensor aufgerufen werden. |
Die Nutzung des verfügbaren PCAP-Speicherplatzes hängt von Faktoren wie der Anzahl der Warnungen, dem Warnungstyp und der Netzwerkbandbreite ab. Sie alle wirken sich auf die Größe der PCAP-Datei aus.
Tipp
Um nicht von der Speicherkapazität des Sensors abhängig zu sein, verwenden Sie zum Sichern Ihrer PCAP-Daten einen externen Speicher.
Aufbewahrung von Sicherheitsempfehlungen
Defender for IoT-Sicherheitsempfehlungen werden ab dem Zeitpunkt der ersten Erkennung und der damit verbundenen Empfehlung 90 Tage lang nur im Azure-Portal gespeichert.
Weitere Informationen finden Sie unter Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.
OT-Ereigniszeitachsenaufbewahrung
OT-Ereigniszeitachsendaten werden nur auf OT-Netzwerksensoren gespeichert. Die Speicherkapazität unterscheidet sich dabei je nach Hardwareprofil des Sensors.
Die Aufbewahrung von Ereigniszeitachsendaten ist nicht zeitlich begrenzt. Bei einer angenommenen Häufigkeit von 500 Ereignissen pro Tag können alle Hardwareprofile die Ereignisse jedoch mindestens 90 Tagelang aufbewahren.
Wenn ein Sensor seine maximale Speichergröße überschreitet, wird die älteste Ereigniszeitachsendatendatei gelöscht, um die neueste speichern zu können.
In der folgenden Tabelle ist die maximale Anzahl von Ereignissen aufgeführt, die für jedes Hardwareprofil gespeichert werden können:
| Hardwareprofil | Anzahl der Ereignisse |
|---|---|
| C5600 | 10 Mio. Ereignisse |
| E1800 | 10 Mio. Ereignisse |
| E1000 | 6 Mio. Ereignisse |
| E500 | 6 Mio. Ereignisse |
| L500 | 3 Mio. Ereignisse |
| L100 | 500.000 Ereignisse |
Weitere Informationen finden Sie unter Sensoraktivitäten nachverfolgen und Vorkonfigurierte physische Appliances für die OT-Überwachung.
Aufbewahrung der OT-Protokolldatei
Dienst- und Verarbeitungsprotokolldateien werden ab dem Erstellungsdatum 30 Tage lang im Azure-Portal gespeichert.
Andere OT-Überwachungsprotokolldateien werden nur auf dem OT-Netzwerksensor und in der lokalen Verwaltungskonsole gespeichert.
Weitere Informationen finden Sie unter
Datenfreigabe
Defender für IoT teilt Daten, einschließlich Kundendaten, unter den folgenden Microsoft-Produkten, die auch vom Kunden lizenziert werden:
- Microsoft Security Exposure Management
Kapazität der lokalen Sicherungsdatei
Sowohl der OT-Netzwerksensor als auch die lokale Verwaltungskonsole verfügen über automatisierte Sicherungen, die täglich ausgeführt werden.
Sowohl auf dem OT-Sensor als auch in der lokalen Verwaltungskonsole werden ältere Sicherungsdateien überschrieben, wenn die konfigurierte Speicherkapazität ihr Maximum erreicht hat.
Weitere Informationen finden Sie unter
- Einrichten von Sicherungs- und Wiederherstellungsdateien auf einem OT-Sensor
- Konfigurieren der Sicherungseinstellungen für OT-Sensoren auf einer lokalen Verwaltungskonsole
- Konfigurieren der Sicherungseinstellungen für OT-Sensoren für eine lokale Verwaltungskonsole
Sicherungen auf dem OT-Netzwerksensor
Die Aufbewahrung von Sicherungsdateien hängt von der Architektur des Sensors ab, da jedes Hardwareprofil über einen festgelegten Festplattenspeicher für den Sicherungsverlauf verfügt:
| Hardwareprofil | Zugeordneter Festplattenspeicher |
|---|---|
| L100 | Sicherungen werden nicht unterstützt. |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Wenn dem Gerät kein Festplattenspeicher zugeordnet ist, wird nur die letzte Sicherung in der lokalen Verwaltungskonsole gespeichert.
Sicherungen in der lokalen Verwaltungskonsole
Der in der lokalen Verwaltungskonsole für Sicherungsdateien zugewiesene Festplattenspeicher ist auf 10 GB und 20 Sicherungen beschränkt.
Wenn Sie eine lokale Verwaltungskonsole verwenden, verfügt jeder verbundene OT-Sensor über ein eigenes zusätzliches Sicherungsverzeichnis in der lokalen Verwaltungskonsole:
- Eine einzelne Sensorsicherungsdatei ist auf maximal 40 GB beschränkt. Eine Datei, die diese Größe überschreitet, wird nicht an die lokale Verwaltungskonsole gesendet.
- Der gesamte Festplattenspeicher, der allen Sensoren in der lokalen Verwaltungskonsole zur Sensorsicherung zur Verfügung steht, beträgt 100 GB.
Nächste Schritte
Weitere Informationen finden Sie unter