Adatmegőrzés, adatvédelem és megosztás az IoT-hez készült Microsoft Defenderben
A Microsoft Defender for IoT a Microsoft Azure Portalon, az OT hálózati érzékelőkben és a helyszíni felügyeleti konzolokon tárolja az adatokat.
Minden tárolási típus különböző tárolási kapacitási és megőrzési idővel rendelkezik. Ez a cikk az adatmegőrzési szabályzatot ismerteti az adatok mennyiségére és az adatok tárolásának időtartamára vonatkozóan az egyes tárolási típusokban a törlés vagy felülírás előtt.
Mit gyűjtünk?
Az IoT Defender adatokat gyűjt a konfigurált eszközökről, és egy szolgáltatásspecifikus, ügyfél által dedikált és elkülönített bérlőben tárolja azokat. A tárolt adatok adminisztrációs, nyomkövetési és jelentéskészítési célokra szolgálnak.
Az összegyűjtött információk közé tartoznak a hálózati kapcsolat adatai (IP-címek és portok), valamint az eszköz adatai (eszközazonosítók, nevek, operációsrendszer-verziók, belső vezérlőprogram-verziók). Az IoT Defender biztonságosan tárolja ezeket az adatokat a Microsoft adatvédelmi gyakorlatával és a Microsoft Adatvédelmi központ szabályzataival összhangban.
Ezek az adatok lehetővé teszik a Defender for IoT számára a következőket:
- Proaktívan azonosítja a szervezet támadási mutatóit.
- Riasztások létrehozása, ha lehetséges támadást észlel.
- Tekintse meg a biztonsági csapat számára a hálózat fenyegetésjeleihez kapcsolódó eszközöket és címeket, lehetővé téve a lehetséges hálózati biztonsági fenyegetések kivizsgálását és felderítését.
A Microsoft nem használja fel az ön adatait reklámozásra.
Helyadatok
Az IoT Defender az Európai Unió Microsoft Azure-adatközpontjait és a Egyesült Államok használja. A szolgáltatás által gyűjtött ügyféladatok két földrajzi hely egyikén tárolhatók:
- A bérlő földrajzi helye a kiépítés során azonosított módon.
- Egy online szolgáltatás adattárolási szabályai által meghatározott földrajzi hely, amelyet a Defender for IoT használ az adatok feldolgozásához.
Adatmegőrzés
Az IoT-hez készült Defender adatai mindaddig megmaradnak, amíg az ügyfél aktív, vagy a szerződés megszűnését követő 90 napig. Ebben az időszakban az adatok a portál többi szolgáltatásában is láthatók.
Az adatok megmaradnak, és elérhetők, amíg a licenc türelmi időszak alatt vagy felfüggesztett módban van. Az időszak vége után 90 nappal az adatok törlődnek a Microsoft rendszeréből, így azok helyreállíthatatlanok lesznek.
Eszközadatok adatmegőrzési időszakai
Az alábbi táblázat felsorolja, hogy az eszközadatok mennyi ideig tárolódnak az egyes Defender for IoT storage-típusokban.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Eszközleltár kezelése az Azure Portalról. |
| OT hálózati érzékelő | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Ot-eszközleltár kezelése egy érzékelőkonzolról. |
| Helyszíni felügyeleti konzol | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Ot-eszközleltár kezelése helyszíni felügyeleti konzolról. |
Riasztások adatmegőrzése
Az alábbi táblázat felsorolja, hogy mennyi ideig tárolják a riasztási adatokat az egyes Defender for IoT storage-típusokban. A riasztási adatok a felsoroltak szerint lesznek tárolva, függetlenül attól, hogy a riasztás állapota vagy a tanultak vagy elnémítva lettek-e.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások megtekintése és kezelése az Azure Portalról. |
| OT hálózati érzékelő | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások megtekintése az érzékelőn. |
| Helyszíni felügyeleti konzol | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások használata a helyszíni felügyeleti konzolon. |
OT-riasztás PCAP-adatmegőrzés
Az alábbi táblázat felsorolja, hogy mennyi ideig tárolják a PCAP-adatokat az egyes Defender for IoT storage-típusokban.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | A PCAP-fájlok mindaddig letölthetők az Azure Portalról, amíg az OT hálózati érzékelő tárolja őket. A letöltés után a fájlok 48 órán át gyorsítótárazva lesznek az Azure Portalon. További információ: Access-riasztás PCAP-adatai. |
| OT hálózati érzékelő | Az érzékelő PCAP-fájlokhoz lefoglalt tárolási kapacitásától függ, amely meghatározza a hardverprofilját: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Ha egy érzékelő túllépi a maximális tárolási kapacitást, a rendszer törli a legrégebbi PCAP-fájlt, hogy megfeleljen az újnak. További információ: Access alert PCAP-adatok és előre konfigurált fizikai berendezések ot monitorozáshoz. |
| Helyszíni felügyeleti konzol | A PCAP-fájlok nem a helyszíni felügyeleti konzolon vannak tárolva, és csak a helyszíni felügyeleti konzolról érhetők el az OT-érzékelő közvetlen hivatkozásán keresztül. |
A rendelkezésre álló PCAP-tárterület használata olyan tényezőktől függ, mint a riasztások száma, a riasztás típusa és a hálózati sávszélesség, amelyek mindegyike befolyásolja a PCAP-fájl méretét.
Tipp.
Annak érdekében, hogy ne függjön az érzékelő tárolási kapacitásától, használjon külső tárolót a PCAP-adatok biztonsági mentéséhez.
Biztonsági javaslatok megőrzése
Az IoT-hez készült Defender biztonsági javaslatok csak az Azure Portalon vannak tárolva, a javaslat első észlelésétől számított 90 napig.
További információkért tekintse meg a biztonsági helyzet javítása biztonsági javaslatokkal foglalkozó témakört.
OT-esemény idővonalának megőrzése
Az OT eseménysor adatai csak az OT hálózati érzékelőkön tárolódnak, és a tárolókapacitás az érzékelő hardverprofiljától függően eltérő.
Az eseménysor adatainak megőrzését nem korlátozza az idő. Ha azonban napi 500 esemény gyakoriságát feltételezzük, az összes hardverprofil legalább 90 napigképes megőrizni az eseményeket.
Ha egy érzékelő túllépi a maximális tárterületméretet, a rendszer törli a legrégebbi eseménysor-adatfájlt az újhoz való igazodás érdekében.
Az alábbi táblázat az egyes hardverprofilokhoz tárolható események maximális számát sorolja fel:
| Hardverprofil | Események száma |
|---|---|
| C5600 | 10M-események |
| E1800 | 10M-események |
| E1000 | 6M-események |
| E500 | 6M-események |
| L500 | 3M-események |
| L100 | 500 K-os események |
További információ: Érzékelői tevékenység nyomon követése és előre konfigurált fizikai berendezések ot monitorozáshoz.
OT-naplófájlok megőrzése
A szolgáltatás- és feldolgozási naplófájlok a létrehozásuktól számított 30 napig tárolódnak az Azure Portalon.
Az egyéb ot monitorozási naplófájlok csak az OT hálózati érzékelőn és a helyszíni felügyeleti konzolon vannak tárolva.
További információk:
Biztonsági mentési fájl kapacitása
Az OT hálózati érzékelő és a helyszíni felügyeleti konzol egyaránt naponta futó automatikus biztonsági mentésekkel rendelkezik, és a régebbi biztonsági mentési fájlok felülíródnak, amikor a konfigurált tárolókapacitás eléri a korlátot.
További információk:
- Fájlok biztonsági mentésének és visszaállításának beállítása egy OT-érzékelőn
- Az OT-érzékelő biztonsági mentési beállításainak konfigurálása helyszíni felügyeleti konzolon
Biztonsági másolatok az OT hálózati érzékelőn
A biztonsági mentési fájlok megőrzése az érzékelő architektúrájától függ, mivel minden hardverprofilhoz meghatározott mennyiségű merevlemezterület van lefoglalva a biztonsági mentési előzményekhez:
| Hardverprofil | Lefoglalt merevlemez-terület |
|---|---|
| L100 | A biztonsági mentések nem támogatottak |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Ha az eszköz nem tud elegendő lemezterületet lefoglalni, akkor a rendszer csak az utolsó biztonsági mentést menti a helyszíni felügyeleti konzolra.
Biztonsági másolatok a helyszíni felügyeleti konzolon
A helyszíni felügyeleti konzol biztonsági mentési fájljaihoz lefoglalt merevlemez-terület 10 GB-ra és csak 20 biztonsági mentésre korlátozódik.
Helyszíni felügyeleti konzol használata esetén minden csatlakoztatott OT-érzékelő saját, extra biztonsági mentési címtárral is rendelkezik a helyszíni felügyeleti konzolon:
- Egyetlen érzékelő biztonsági mentési fájlja legfeljebb 40 GB lehet. Az ilyen méretű fájlokat a rendszer nem küldi el a helyszíni felügyeleti konzolra.
- A helyszíni felügyeleti konzol összes érzékelőjének biztonsági mentéséhez lefoglalt teljes merevlemezterület 100 GB.
Adatmegosztás az IoT-hez készült Microsoft Defenderhez
Az IoT-hez készült Microsoft Defender az ügyfél által is licencelt alábbi Microsoft-termékek között osztja meg az adatokat, beleértve az ügyféladatokat is.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender for Cloud
- Microsoft Defender végponthoz
- Microsoft Security Exposure Management
Következő lépések
További információk:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: