Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel (SIEM) keräämiäsi tietoja, ja Microsoft Defender XDR tallennetaan taulukoihin. Microsoft Defender portaalin avulla voit hallita säilytysaikaa ja tietoihisi liittyviä säilökustannuksia. Voit hallita säilytystä ja kustannuksia seuraavissa tilanteissa:
- Määritä tietoyhdistimet lähettämään tietoja Microsoft Sentinel tai Microsoft Defender XDR.
- Hallitse olemassa olevia taulukoita ja tietoja.
Tässä artikkelissa kerrotaan, miten voit hallita taulukoiden säilytys- ja tasoasetuksia Microsoft Defender portaalissa suojaustoimintojen optimoimiseksi ja kustannusten pienentämiseksi Microsoft Sentinel ja Microsoft Defender XDR.
Mitä taulukoita voit hallita Defender-portaalissa?
Tässä osassa kuvataan taulukkotyypit, joita voit hallita Microsoft Defender portaalissa.
| Taulukkotyyppi | Kuvaus | Esimerkkejä | Onko Microsoft Sentinel työtilassa? |
|---|---|---|---|
| Microsoft Sentinel | Sisäiset taulukot, mukaan lukien: – Azure taulukoita, kuten AzureDiagnostics ja SigninLogs. - Microsoft Sentinel taulukoita. - Microsoft Defender XDR integroinnin Microsoft Sentinel kanssa, jotka luodaan Microsoft Sentinel työtilassa, kun pidennät analyysin säilytysaikaa yli 30 päivän. Katso XDR-taulukkotyypistä Defender XDR taulukot, joita ei tällä hetkellä tueta. |
- Azure taulukot: AzureDiagnostics,SigninLogs- Microsoft Sentinel taulukot: AWSCloudTrail,SecurityAlert- XDR-taulukot: DeviceEvents,AlertInfo |
Kyllä |
| Mukautettu | Taulukot, jotka luodaan manuaalisesti tai Microsoft Sentinel työtilan töiden kautta, mukaan lukien yhteenvetosääntö ja hakutöiden tulostaulukot sekä mukautetut tietolähdetaulukot. | Taulukot, joissa _CL on tai _SRCH jälkiliitteet. |
Kyllä |
| XDR | XDR-oletustason taulukoilla on oletusarvoisesti 30 päivän analytiikkapidätys. Voit tarkastella näitä taulukoita, mutta et voi hallita niitä Defender-portaalissa. | IdentityInfo |
Ei |
Huomautus
Voit tarkastella Microsoft Sentinel työtilan peruslokitaulukoita Defender-portaalista, mutta voit hallita niitä tällä hetkellä vain Log Analytics -työtilasta. Jos haluat hallita näitä taulukoita Defender-portaalissa, muuta taulukkosuunnitelma perustasosta analytiikaksi Microsoft Sentinel työtilassasi.
Miten tietotasot ja säilytys toimivat
Voit säilyttää tietoja Microsoft Sentinel jossakin kahdesta tasosta:
Analysointitaso: Tällä tasolla tiedot ovat käytettävissä hälytyksiä, metsästystä, työkirjoja ja kaikkia Microsoft Sentinel ominaisuuksia varten. Se säilyttää tiedot kahdessa tilassa:
- Analyysin säilyttäminen: Tässä "kuumassa" tilassa tiedot ovat täysin saatavilla reaaliaikaiseen analytiikkaan , mukaan lukien suorituskykyiset kyselyt ja analytiikkasäännöt, sekä uhkien metsästykseen. oletusarvoisesti Microsoft Sentinel ja Microsoft Defender XDR säilyttävät tämän tason tietoja 30 päivän ajan. Voit pidentää kaikkien taulukoiden säilytysaikaa jopa kahteen vuoteen jatketulla kuukausittaisella pitkäaikaisella säilytysmaksulla. Voit pidentää Microsoft Sentinel ratkaisutaulukoiden säilytysaikaa maksutta 90 päivään.
- Kokonaispidätys: Oletusarvoisesti kaikki analysointitason tiedot peilataan Data Lake -tallennustilaan samalta säilytyskaudelta. Voit laajentaa tietojen säilyttämistä järvessä analytiikan säilyttämisen lisäksi jopa 12 vuoden ajan kokonaispidätystä alhaisin kustannuksin.
Data Lake Tier: Tällä edullisella kylmällä tasolla Microsoft Sentinel säilyttää tietosi vain Lake-järjestelmässä. Data Lake -tason tiedot eivät ole saatavilla reaaliaikaisille analytiikkaominaisuuksille ja uhkien metsästykselle. Voit kuitenkin käyttää järven tietoja milloin tahansa KQL-töiden kautta, analysoida ajan mittaan suuntauksia suorittamalla ajoitettuja KQL- tai Spark-töitä ja koostaa merkityksellisiä tietoja saapuvista tiedoista säännöllisesti käyttämällä yhteenvetosääntöjä.
XDR-tiedot: Oletusarvoisesti Microsoft Defender XDR uhkien metsästystiedot ovat aina käytettävissä analytiikkatasolla 30 päivän ajan. Voit pidentää näiden tietojen säilytystä analytiikkatasolla jopa 90 päivään, mikä aiheuttaisi käsittelykustannuksia, mutta tallennustila on ilmainen. Yli 90 päivää analytiikassa aiheuttaa myös tallennuskustannuksia. Voit myös käyttää yksinomaan Data Lake -tasoa, mutta tiedot ovat aina käytettävissä analytiikkatasolla 30 päivän ajan. XDR-tietojen käyttö suoraan Data Lake -tasolle on kustannustehokkaampaa, mutta siihen liittyy käsittely-, varastointi- ja käsittelykustannukset. Tässä vaihtoehdossa asiakkaat saavat edelleen 30 päivän tiedot Analytics-tasolla ilman lisäkustannuksia.
Lisätietoja näiden kahden säilytystyypin eroista on kohdassa Analyysi- ja Data Lake -tasojen vertailu.
Tässä kaaviossa näkyvät analytiikan, Data Laken ja XDR:n oletustasojen säilytysosat ja se, mitkä taulukkotyypit koskevat kutakin tasoa:
Lisätietoja Microsoft Sentinel Data Lake -tallennustilasta on kohdassa Mikä data lake Microsoft Sentinel on.
Analysoinnin ja Data Lake -tasojen vertailu
Tässä taulukossa vertaillaan kahta analytiikka- ja Data Lake -tasoa sekä niiden keskeisiä ominaisuuksia:
| Vertailu | Analytiikkataso | Data Lake -taso |
|---|---|---|
| Avainominaisuudet | Lokien tehokas kysely ja indeksointi (tunnetaan myös nimellä kuuma tai vuorovaikutteinen säilytys). | Suurten tietomäärien kustannustehokas pitkäaikainen säilyttäminen (kutsutaan myös kylmäsäilytykseksi). |
| Sopii parhaiten | Reaaliaikaiset analytiikkasäännöt, hälytykset, metsästys, työkirjat ja kaikki Microsoft Sentinel ominaisuudet. | – yhteensopivuuden ja säädösten kirjaaminen. - Historiallinen trendianalyysi ja rikostekninen tutkimus. – vähäistä kosketusta sisältävät tiedot, joita ei tarvita reaaliaikaisia ilmoituksia varten. |
| Käsittelykustannukset | Standard | Minimaalinen |
| Kyselyn hinta sisältyy | ✅ | ❌ |
| Optimoitu kyselyn suorituskyky | ✅ |
❌ Hitaammat kyselyt. Hyvä valvonnan kannalta. Ei optimoitu reaaliaikaista analyysia varten. |
| Kyselytoiminnot | Microsoft Defender- ja Azure portaalien täydet kyselyominaisuudet ja ohjelmointirajapintoja käyttämällä. |
-
Täydet kyselyominaisuudet , mukaan lukien liitokset ja liitokset. - suorittaa ajoitettuja KQL- tai Spark-töitä. - Käytä muistikirjoja. |
| Koko joukko reaaliaikaisia analytiikkaominaisuuksia | ✅ | ❌ Joitakin ominaisuuksia koskevat rajoitukset, kuten analytiikkasäännöt, metsästyskyselyt, jäsentimet, katseluluettelot, työkirjat ja toistokirjat. |
| Hakutyöt | ✅ | ✅ |
| Yhteenvetosäännöt | ✅ | ✅ Täysi KQL yhdessä taulukossa, jota voidaan laajentaa analytiikkataulukon tiedoilla haun avulla |
| Palauttaa | ✅ | ❌ KQL- ja Muistikirja-työt voivat ylentää tietoja analytiikkatasolle. |
| Tietojen vienti | ✅ | ❌ |
| Säilytysaika | Microsoft Sentinel 90 päivää, Microsoft Defender XDR 30 päivää. Voidaan pidentää enintään kahteen vuoteen jatketulla kuukausittaisella pitkäaikaisella säilytysmaksulla. |
Sama kuin analytiikan säilyttäminen oletusarvoisesti. Voidaan pidentää enintään 12 vuoteen. |
Mitä tapahtuu, kun muokkaat taulukon asetuksia
Voit vaihtaa taulukon tasoa ja säilytysasetuksia milloin tahansa.
Kun muutat taulukon tierby-oletus-xdr:n analytiikasta Data Lake -tallennustilaan, kaikki reaaliaikaiset analytiikka- ja metsästyskyselyt lakkaavat toimimasta.
Kun lyhennät taulukon kokonaissäilytystä, Microsoft odottaa 30 päivää ennen tietojen poistamista, joten voit palauttaa muutoksen ja välttää tietojen menettämisen, jos teit määritysvirheen.
Kun suurennat kokonaispidätystä, uusi säilytysaika koskee kaikkia tietoja, jotka oli jo kirjattu taulukkoon ja joita ei vielä poistettu.
Kun muutat olemassa olevia tietoja sisältävän taulukon analytiikan säilytysasetuksia, muutos tulee voimaan välittömästi.
Esimerkki:
- Sinulla on analytiikkatasolla taulukko, jossa on 180 päivän analytiikkapidätys. Oletuksena Kokonaispidätys-arvoksi on määritetty myös 180 päivää.
- Voit muuttaa analytiikan säilytyksen 90 päivään muuttamatta 180 päivän kokonaispidätysaikaa.
- Microsoft Sentinel poistaa automaattisesti viimeiset 90 päivän tiedot analytiikan säilyttämisestä, mutta tallentaa edelleen 90–180 päivän tiedot Data Lake -tallennustilaan.
XDR-tietojen hallinta Microsoft Sentinel
oletusarvoisesti Microsoft Defender XDR säilyttää uhkien metsästystietoja XDR-oletustasolla 30 päivän ajan. Näitä tietoja ei ole oletusarvoisesti käytetty analytiikka- tai Data Lake -tasoissa. Jos tuettujen XDR-taulukoiden säilytysaikaa pidennetään yli 30:n ja enintään 90 päivän ajaksi, Sentinel käsittelykustannukset ovat voimassa, mutta tallennuskuluja ei ole. Taulukot luodaan Microsoft Sentinel työtilassa analytiikkatasolla ja peilataan Data Lake -tasolle.
Jos otat Microsoft Sentinel XDR -liittimen käyttöön Azure-portaali, asennuksen aikana valitsemasi taulukot käsitellään automaattisesti analytiikkatasolla ja peilataan Data Lake -tasolle. Oletuspidätys on 30 päivää, ja voit pidentää sitä jopa 12 vuoteen. Taulukkoluettelo on kohdassa Microsoft Defender XDR integrointi Microsoft Sentinel kanssa. Voit käyttää tuettuja XDR-taulukoita, joita et valinnut liittimen käyttöönoton aikana, analytiikkatasolle ja peilata ne Data Lake -tasolle määrittämällä säilytykseen yli 30 päivää.
Jos et ota Microsoft Sentinel XDR -liitintä käyttöön, XDR-taulukoita ei käsitellä automaattisesti, mutta voit silti käyttää niitä asettamalla analytiikan tai Data Lake -tason säilytyksen yli 30 päivän ajan Defender-portaalissa.
Voit valita tuettujen XDR-taulukoiden käytön yksinomaan Data Lake -tasolla valitsemalla Data Lake Tier - asetuksen säilytysasetuksia määritettäessä. Lisätietoja on kohdassa Tietojen säilyttämisen ja tasoituksen määrittäminen.
Lopeta tietojen käyttö analysointitasolla palauttamalla analytiikkatason säilytys ja kokonaispidätys oletusarvoiseen 30 päivään. Tämä toiminto poistaa liittimen käytöstä Azure-portaali.
Lisätietoja taulukoiden ja tietojen hallinnasta on kohdassa Aiemmin luotujen taulukoiden ja tietojen hallinta.
XDR-tietojen säilytys ja kustannukset
Seuraavissa taulukoissa on yhteenveto Microsoft Sentinel eri tasojen vapaista säilytysjaksoista ja kustannusvaikutuksista:
| Tier | Säilyttäminen | Huomautuksia |
|---|---|---|
| Kehittynyt metsästys (oletus) | 30 päivää | Oletusarvo sisältyy XDR-käyttöoikeuteen |
| Analytiikkataso | 31–90 päivää | Maksuton tallennustila Sentinel työtiloille. Tiedot peilataan Data Lake -tallennustilaan. Sentinel käsittelymaksu on voimassa. |
| Data Lake | Konfiguroitavissa. Oletusarvoisesti sama kuin analytiikkatasolla. | Ilmainen tallennustila, kun kokonaissäilytys on sama kuin analytiikkatason säilytys. Tietojen säilyttäminen Data Lake -tallennustilassa analytiikkatason säilytysajan jälkeen aiheuttaa Data Lake -tallennuskustannuksia. Tietojen käyttö suoraan Data Lake -tasolle aiheuttaa käsittely-, tallennus- ja käsittelykustannuksia. |
Lisätietoja laskutuksen ja kustannusten saat kohdasta Tutustu Microsoft Sentinel täydelliseen laskutusmalliin
Seuraavissa esimerkeissä XDR-tiedot ovat saatavilla kehittyneen metsästyksen kautta vähintään 30 päivän ajan riippumatta analytiikan tai Data Lake -tasojen säilytysasetuksista.
| Analytiikkatason säilytys | Kokonaispidätys | Analysointitason käsittelykustannukset | Analysointitason tallennuskustannukset | Data Lake -tason kustannukset |
|---|---|---|---|---|
| Oletus 30 päivää | Oletus 30 päivää | Ei lisäkustannuksia | N/A | N/A |
| 90 päivää | 90 päivää | Kustannukset koskevat analytiikkatason käsittelyjä. | Ei lisäkustannuksia. Hintaan sisältyy 90 päivää. | Ei lisäkustannuksia. Kokonaispidätys vastaa analytiikkatason säilytystä. |
| 90 päivää | 180 päivää | Kustannukset koskevat analytiikkatason käsittelyjä. | Ei lisäkustannuksia; Hintaan sisältyy 90 päivää. | Data Lake -lisäpidätystä koskevat kustannukset ovat 90 päivää (180–90 päivää). |
| 180 päivää | 1 vuosi | Kustannukset koskevat analytiikkatason käsittelyjä. | Kustannukset koskevat 90 päivän lisäanalytiikkatason säilytystä. | Data Lake -lisäpidätystä koskevat kustannukset ovat 185 päivää (365–180 päivää). |
| 0 päivää (vain Data Lake) | 5 vuotta | N/A | N/A | Kustannukset koskevat tietojen käsittelystä ja 5 vuoden ajan Data Lake -tallennusta. |
Seuraavat vaiheet
Lisätietoja: