Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Daten, die Sie in Microsoft Sentinel (SIEM) und Microsoft Defender XDR sammeln, werden in Tabellen gespeichert. Im Microsoft Defender-Portal können Sie den Aufbewahrungszeitraum und die Mit Ihren Daten verbundenen Speicherkosten verwalten. Sie können Aufbewahrung und Kosten verwalten, wenn Sie:
- Konfigurieren Sie Datenconnectors zum Senden von Daten an Microsoft Sentinel oder Microsoft Defender XDR.
- Verwalten Sie Ihre vorhandenen Tabellen und Daten.
In diesem Artikel wird erläutert, wie Sie Tabellenaufbewahrungs- und Ebenenoptionen im Microsoft Defender-Portal verwalten, um Sicherheitsvorgänge zu optimieren und Kosten in Microsoft Sentinel und Microsoft Defender XDR zu senken.
Welche Tabellen können Sie im Defender-Portal verwalten?
In diesem Abschnitt werden die Tabellentypen beschrieben, die Sie im Microsoft Defender-Portal verwalten können.
| Tabellentyp | Beschreibung | Beispiele | Befindet sich in Microsoft Sentinel Arbeitsbereich? |
|---|---|---|---|
| Microsoft Sentinel | Integrierte Tabellen, einschließlich: – Azure Tabellen wie AzureDiagnostics und SigninLogs. – Microsoft Sentinel Tabellen. - Microsoft Defender XDR Integration mit Microsoft Sentinel, die in Ihrem Microsoft Sentinel Arbeitsbereich erstellt werden, wenn Sie den Aufbewahrungszeitraum für Analysen auf mehr als 30 Tage erhöhen. Informationen zu Defender XDR Tabellen, die derzeit nicht unterstützt werden, finden Sie unter XDR-Tabellentyp. |
– Azure Tabellen: AzureDiagnostics,SigninLogs– Microsoft Sentinel Tabellen: AWSCloudTrail,SecurityAlert- XDR-Tabellen: DeviceEvents,AlertInfo |
Ja |
| Custom | Tabellen, die Sie manuell oder über Aufträge in Ihrem Microsoft Sentinel Arbeitsbereich erstellen, einschließlich Zusammenfassungsregel- und Ergebnistabellen für Suchaufträge sowie benutzerdefinierte Datenquellentabellen. | Tabellen mit _CL oder _SRCH Suffixen. |
Ja |
| XDR | Tabellen im XDR-Standardtarif, deren Analysedauer standardmäßig 30 Tage beträgt. Sie können diese Tabellen anzeigen, aber nicht über das Defender-Portal verwalten. | IdentityInfo |
Nein |
Hinweis
Sie können Tabellen für Standardprotokolle in Ihrem Microsoft Sentinel Arbeitsbereich über das Defender-Portal anzeigen, aber Sie können sie derzeit nur in Ihrem Log Analytics-Arbeitsbereich verwalten. Um diese Tabellen über das Defender-Portal zu verwalten, ändern Sie den Tabellenplan in Ihrem Microsoft Sentinel Arbeitsbereich von "Basic" in "Analytics".
Funktionsweise von Datenebenen und Aufbewahrung
Sie können Daten in Microsoft Sentinel auf einer von zwei Ebenen aufbewahren:
Analyseebene: Diese Ebene stellt Daten für Warnungen, Die Suche, Arbeitsmappen und alle Microsoft Sentinel Features zur Verfügung. Daten werden in zwei Zuständen aufbewahrt:
- Analyseaufbewahrung: In diesem "heißen" Zustand sind Daten vollständig für Echtzeitanalysen – einschließlich Hochleistungsabfragen und Analyseregeln – und bedrohungssuche verfügbar. Standardmäßig Microsoft Sentinel und Microsoft Defender XDR Daten auf dieser Ebene 30 Tage lang aufbewahren. Sie können den Aufbewahrungszeitraum aller Tabellen auf bis zu zwei Jahre verlängern, zu einer anteiligen monatlichen Langzeitaufbewahrungsgebühr. Sie können den Aufbewahrungszeitraum von Microsoft Sentinel Lösungstabellen kostenlos auf 90 Tage verlängern.
- Gesamtaufbewahrung: Standardmäßig werden alle Daten auf der Analyseebene für den gleichen Aufbewahrungszeitraum im Data Lake gespiegelt. Sie können die Aufbewahrung Ihrer Daten im Lake über die Analyseaufbewahrung hinaus für bis zu 12 Jahre Gesamtaufbewahrung zu geringen Kosten verlängern.
Data Lake-Ebene: In dieser kostengünstigen "kalten" Ebene behält Microsoft Sentinel Ihre Daten nur im Lake bei. Daten auf der Data Lake-Ebene sind für Echtzeitanalysefeatures und Bedrohungssuche nicht verfügbar. Sie können jedoch jederzeit über KQL-Aufträge auf Daten im Lake zugreifen, Trends im Laufe der Zeit analysieren, indem Sie geplante KQL- oder Spark-Aufträge ausführen, und Erkenntnisse aus eingehenden Daten in regelmäßigen Abständen mithilfe von Zusammenfassungsregeln aggregieren.
XDR-Daten: Standardmäßig sind Microsoft Defender XDR Bedrohungssuchedaten 30 Tage lang immer auf der Analyseebene verfügbar. Sie können die Aufbewahrung dieser Daten auf der Analyseebene auf bis zu 90 Tage verlängern, was zu Erfassungskosten führen würde, aber der Speicher ist kostenlos. Wenn die Analyse über 90 Tage hinausgeht, fallen auch Speicherkosten an. Sie können auch ausschließlich in der Data Lake-Ebene erfassen, aber die Daten sind 30 Tage lang immer auf der Analyseebene verfügbar. Die direkte Erfassung von XDR-Daten auf der Data Lake-Ebene ist kostengünstiger, umfasst jedoch Erfassungs-, Speicher- und Verarbeitungskosten. Bei dieser Option erhalten Kunden weiterhin Daten im Analytics-Tarif für 30 Tage ohne zusätzliche Kosten.
Weitere Informationen zu den Unterschieden zwischen diesen beiden Aufbewahrungstypen finden Sie unter Vergleichen der Analyse- und Data Lake-Ebenen.
Dieses Diagramm zeigt die Aufbewahrungskomponenten der Standardebenen Analytics, Data Lake und XDR und welche Tabellentypen für die einzelnen Ebenen gelten:
Weitere Informationen zum Microsoft Sentinel Data Lake finden Sie unter Was ist Microsoft Sentinel Data Lake?
Vergleichen der Analyse- und Data Lake-Ebenen
In dieser Tabelle werden die beiden Analyse- und Data Lake-Ebenen mit ihren wichtigsten Merkmalen verglichen:
| Comparison | Analyseebene | Data Lake-Ebene |
|---|---|---|
| Wichtige Merkmale | Hochleistungsabfragen und -indizierung für Protokolle (auch als heiße oder interaktive Aufbewahrung bezeichnet). | Kostengünstige Langzeitaufbewahrung großer Datenvolumen (auch als Cold Storage bezeichnet). |
| Am besten geeignet für | Echtzeitanalyseregeln, Warnungen, Hunting, Arbeitsmappen und alle Microsoft Sentinel Features. | – Compliance- und gesetzliche Protokollierung. - Historische Trendanalyse und Forensik. – Daten mit geringer Fingereingabe, die für Echtzeitwarnungen nicht benötigt werden. |
| Erfassungskosten | Standard | Wenig |
| Abfragepreis enthalten | ✅ | ❌ |
| Optimierte Abfrageleistung | ✅ |
❌ Langsamere Abfragen. Gut für die Überwachung. Nicht für Echtzeitanalysen optimiert. |
| Abfragefunktionen | Vollständige Abfragefunktionen in den Microsoft Defender- und Azure-Portalen und mithilfe von APIs. |
-
Vollständige Abfragefunktionen , einschließlich Unions und Joins. – Ausführen von geplanten KQL- oder Spark-Aufträgen. – Verwenden Sie Notebooks. |
| Vollständiger Satz von Echtzeitanalysefeatures | ✅ | ❌ Einschränkungen für einige Features, einschließlich Analyseregeln, Huntingabfragen, Parser, Watchlists, Arbeitsmappen und Playbooks. |
| Aufträge suchen | ✅ | ✅ |
| Zusammenfassungsregeln | ✅ | ✅ Vollständige KQL für eine einzelne Tabelle, die Sie mit Daten aus einer Analysetabelle mithilfe von Lookup erweitern können |
| Wiederherstellen | ✅ | ❌ KQL- und Notebook-Aufträge können Daten auf die Analyseebene heraufstufen. |
| Datenexport | ✅ | ❌ |
| Aufbewahrungszeitraum | 90 Tage für Microsoft Sentinel, 30 Tage für Microsoft Defender XDR. Kann zu einer anteiligen monatlichen Langzeitaufbewahrungsgebühr auf bis zu zwei Jahre verlängert werden. |
Dies entspricht standardmäßig der Analyseaufbewahrung. Kann auf bis zu 12 Jahre verlängert werden. |
Was geschieht, wenn Sie Tabelleneinstellungen ändern?
Sie können den Tarif und die Aufbewahrungseinstellungen einer Tabelle jederzeit wechseln.
Wenn Sie den Tarif einer Tabelle von standard xdr von Analytics in Data Lake ändern, funktionieren alle Echtzeitanalysen und Hunting-Abfragen nicht mehr.
Wenn Sie die Gesamtaufbewahrung einer Tabelle verkürzen, wartet Microsoft 30 Tage, bevor die Daten entfernt werden, sodass Sie die Änderung rückgängig machen und Datenverluste vermeiden können, wenn bei der Konfiguration ein Fehler aufgetreten ist.
Wenn Sie die Gesamtaufbewahrung erhöhen, gilt der neue Aufbewahrungszeitraum für alle Daten, die bereits in der Tabelle erfasst und noch nicht entfernt wurden.
Wenn Sie die Analyseaufbewahrungseinstellungen einer Tabelle mit vorhandenen Daten ändern, wird die Änderung sofort wirksam.
Beispiel:
- Sie verfügen über eine Tabelle auf der Analyseebene mit einer Analyseaufbewahrung von 180 Tagen. Standardmäßig ist die Gesamtaufbewahrung ebenfalls auf 180 Tage festgelegt.
- Sie ändern die Aufbewahrungsdauer für Analysen in 90 Tage, ohne den Aufbewahrungszeitraum gesamt von 180 Tagen zu ändern.
- Microsoft Sentinel entfernt automatisch die Daten der letzten 90 Tage aus der Analyseaufbewahrung, speichert aber weiterhin Daten, die 90 bis 180 Tage im Data Lake dauern.
Verwalten von XDR-Daten in Microsoft Sentinel
Standardmäßig behält Microsoft Defender XDR Daten zur Bedrohungssuche 30 Tage lang auf der XDR-Standardebene bei. Diese Daten werden standardmäßig nicht in den Analyse- oder Data Lake-Ebenen erfasst. Wenn Sie den Aufbewahrungszeitraum der unterstützten XDR-Tabellen über 30 und bis zu 90 Tage verlängern, fallen Sentinel Erfassungskosten an, es fallen jedoch keine zusätzlichen Speicherkosten an. Die Tabellen werden in Ihrem Microsoft Sentinel Arbeitsbereich auf der Analyseebene erstellt und auf der Data Lake-Ebene gespiegelt.
Wenn Sie den Microsoft Sentinel XDR-Connector im Azure-Portal aktivieren, werden die tabellen, die Sie während des Setups auswählen, automatisch in der Analyseebene erfasst und auf der Data Lake-Ebene gespiegelt. Die Standardaufbewahrung beträgt 30 Tage, und Sie können sie auf bis zu 12 Jahre verlängern. Eine Liste der Tabellen finden Sie unter Microsoft Defender XDR Integration in Microsoft Sentinel. Sie können unterstützte XDR-Tabellen erfassen, die Sie während der Connectorbereitstellung auf der Analyseebene nicht ausgewählt haben, und sie auf die Data Lake-Ebene Spiegel, indem Sie die Aufbewahrungsdauer auf mehr als 30 Tage festlegen.
Wenn Sie den Microsoft Sentinel XDR-Connector nicht aktivieren, werden XDR-Tabellen nicht automatisch erfasst, aber Sie können sie trotzdem erfassen, indem Sie analysen oder die Data Lake-Ebene für mehr als 30 Tage im Defender-Portal festlegen.
Sie können unterstützte XDR-Tabellen ausschließlich in der Data Lake-Ebene erfassen, indem Sie beim Konfigurieren der Aufbewahrungseinstellungen die Option Data Lake-Ebene auswählen. Weitere Informationen finden Sie unter Konfigurieren von Datenaufbewahrung und Tiering.
Beenden Sie die Erfassung von Daten auf der Analyseebene, indem Sie die Aufbewahrungsebene der Analyseebene und die Gesamtaufbewahrung auf die Standardmäßigen 30 Tage zurücksetzen. Durch diese Aktion wird der Connector im Azure-Portal deaktiviert.
Weitere Informationen zum Verwalten von Tabellen und Daten finden Sie unter Verwalten vorhandener Tabellen und Daten.
XDR-Datenaufbewahrung und Kosten
In den folgenden Tabellen sind die Kostenlosen Aufbewahrungszeiträume und die Kostenauswirkungen für die verschiedenen Tarife in Microsoft Sentinel zusammengefasst:
| Tier | Aufbewahrung | Hinweise |
|---|---|---|
| Erweiterte Suche (Standard) | 30 Tage | Standard, enthalten in der XDR-Lizenz |
| Analyseebene | 31-90 Tage | Freier Speicher für Sentinel-fähige Arbeitsbereiche. Daten werden im Data Lake gespiegelt. Sentinel Gebühren für die Erfassung fallen an. |
| Data Lake | Konfigurierbar. Standardmäßig identisch mit der Analyseebene. | Freier Speicher, wenn die Gesamtaufbewahrung mit der Aufbewahrungsebene der Analyseebene identisch ist. Die Aufbewahrung von Daten im Data Lake über den Aufbewahrungszeitraum der Analyseebene hinaus verursacht Data Lake Storage-Kosten. Die direkte Erfassung von Daten auf der Data Lake-Ebene verursacht Erfassungs-, Speicher- und Verarbeitungskosten. |
Weitere Informationen zu Abrechnung und Kosten finden Sie unter Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel
In den folgenden Beispielen sind XDR-Daten über die erweiterte Suche für mindestens 30 Tage verfügbar, unabhängig von den Aufbewahrungseinstellungen in den Analytics- oder Data Lake-Ebenen.
| Aufbewahrungsebene "Analyseebene" | Gesamtaufbewahrung | Erfassungskosten für den Analysetarif | Speicherkosten im Analysetarif | Kosten des Data Lake-Tarifs |
|---|---|---|---|---|
| Standardwert von 30 Tagen | Standardwert von 30 Tagen | Keine zusätzlichen Kosten | Nicht zutreffend | Nicht zutreffend |
| 90 Tage | 90 Tage | Kosten fallen für die Erfassung des Analysetarifs an. | Keine zusätzlichen Kosten. 90 Tage kostenlos enthalten. | Keine zusätzlichen Kosten. Die Gesamtaufbewahrung stimmt mit der Aufbewahrungsebene der Analyseebene überein. |
| 90 Tage | 180 Tage | Kosten fallen für die Erfassung des Analysetarifs an. | Keine zusätzlichen Kosten; 90 Tage kostenlos enthalten. | Die Kosten gelten für eine zusätzliche Data Lake-Aufbewahrung von 90 Tagen (180 bis 90 Tage). |
| 180 Tage | 1 Jahr | Kosten fallen für die Erfassung des Analysetarifs an. | Die Kosten fallen für 90 Tage für die aufbewahrungspflichtige zusätzliche Analyseebene an. | Die Kosten gelten für eine zusätzliche Data Lake-Aufbewahrung von 185 Tagen (365 bis 180 Tage). |
| 0 Tage (nur Data Lake) | 5 Jahre | Nicht zutreffend | Nicht zutreffend | Kosten fallen für die Erfassung und für 5 Jahre Data Lake-Aufbewahrung an. |
Nächste Schritte
Weitere Informationen: