Adatmegőrzés és megosztás az IoT-hez készült Microsoft Defenderben
A Microsoft Defender for IoT-érzékelők az üzembe helyezés utáni kezdeti tanulási időszakban megismerik a hálózati forgalom alapkonfigurációját. Ezt a tanult alapkonfigurációt a rendszer határozatlan ideig tárolja az érzékelőkön.
Az IoT Defender más adatokat is tárol az Azure Portalon, az OT hálózati érzékelőkön és a helyszíni felügyeleti konzolokon.
Minden tárolási hely adott tárolási kapacitást és megőrzési időt biztosít. Ez a cikk azt ismerteti, hogy az egyes típusú adatok mennyi és mennyi ideig tárolódnak az egyes helyeken, mielőtt törölték vagy felülírták őket.
Eszközadatok adatmegőrzési időszakai
Az alábbi táblázat felsorolja, hogy mennyi ideig tárolja az eszközadatokat az egyes Defender for IoT-helyeken.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Eszközleltár kezelése az Azure Portalról. |
| OT hálózati érzékelő | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Ot-eszközleltár kezelése egy érzékelőkonzolról. |
| Helyszíni felügyeleti konzol | Az utolsó tevékenység értékének dátumától számított 90 nap. További információ: Ot-eszközleltár kezelése helyszíni felügyeleti konzolról. |
Riasztások adatmegőrzése
Az alábbi táblázat felsorolja, hogy mennyi ideig tárolják a riasztási adatokat az egyes Defender for IoT-helyeken. A riasztási adatok a felsoroltak szerint lesznek tárolva, függetlenül attól, hogy a riasztás állapota vagy a tanultak vagy elnémítva lettek-e.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások megtekintése és kezelése az Azure Portalról. |
| OT hálózati érzékelő | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások megtekintése az érzékelőn. |
| Helyszíni felügyeleti konzol | Az első észlelési érték dátumától számított 90 nap. További információ: Riasztások használata a helyszíni felügyeleti konzolon. |
OT-riasztás PCAP-adatmegőrzés
Az alábbi táblázat felsorolja, hogy mennyi ideig tárolják a PCAP-adatokat az egyes Defender for IoT-helyeken.
| Tárolási típus | Részletek |
|---|---|
| Azure Portalra | A PCAP-fájlok mindaddig letölthetők az Azure Portalról, amíg az OT hálózati érzékelő tárolja őket. A letöltés után a fájlok 48 órán át gyorsítótárazva lesznek az Azure Portalon. További információ: Access-riasztás PCAP-adatai. |
| OT hálózati érzékelő | Az érzékelő PCAP-fájlokhoz lefoglalt tárolási kapacitásától függ, amelyet a hardverprofil határoz meg: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Ha egy érzékelő túllépi a maximális tárolási kapacitást, a rendszer törli a legrégebbi PCAP-fájlt, hogy megfeleljen az újnak. További információ: Access alert PCAP-adatok és előre konfigurált fizikai berendezések ot monitorozáshoz. |
| Helyszíni felügyeleti konzol | A PCAP-fájlok nem a helyszíni felügyeleti konzolon vannak tárolva, és csak a helyszíni felügyeleti konzolról érhetők el az OT-érzékelő közvetlen hivatkozásán keresztül. |
A rendelkezésre álló PCAP-tárterület használata olyan tényezőktől függ, mint a riasztások száma, a riasztás típusa és a hálózati sávszélesség, amelyek mindegyike befolyásolja a PCAP-fájl méretét.
Tipp.
Annak érdekében, hogy ne függjön az érzékelő tárolási kapacitásától, használjon külső tárolót a PCAP-adatok biztonsági mentéséhez.
Biztonsági javaslatok megőrzése
Az IoT-hez készült Defender biztonsági javaslatok csak az Azure Portalon vannak tárolva, a javaslat első észlelésétől számított 90 napig.
További információkért tekintse meg a biztonsági helyzet javítása biztonsági javaslatokkal foglalkozó témakört.
OT-esemény idővonalának megőrzése
Az OT eseménysor adatai csak az OT hálózati érzékelőkön tárolódnak, és a tárolókapacitás az érzékelő hardverprofiljától függően eltérő.
Az eseménysor adatainak megőrzését nem korlátozza az idő. Ha azonban napi 500 esemény gyakoriságát feltételezzük, az összes hardverprofil legalább 90 napigképes lesz megőrizni az eseményeket.
Ha egy érzékelő túllépi a maximális tárterületméretet, a rendszer törli a legrégebbi eseménysor-adatfájlt az újhoz való igazodás érdekében.
Az alábbi táblázat az egyes hardverprofilokhoz tárolható események maximális számát sorolja fel:
| Hardverprofil | Események száma |
|---|---|
| C5600 | 10M-események |
| E1800 | 10M-események |
| E1000 | 6M-események |
| E500 | 6M-események |
| L500 | 3M-események |
| L100 | 500 K-os események |
További információ: Érzékelői tevékenység nyomon követése és előre konfigurált fizikai berendezések ot monitorozáshoz.
OT-naplófájlok megőrzése
A szolgáltatás- és feldolgozási naplófájlok a létrehozásuktól számított 30 napig tárolódnak az Azure Portalon.
Az egyéb ot monitorozási naplófájlok csak az OT hálózati érzékelőn és a helyszíni felügyeleti konzolon vannak tárolva.
További információkért lásd:
Adatmegosztás
Az IoT Defender az ügyfél által is licencelt alábbi Microsoft-termékek között osztja meg az adatokat, beleértve az ügyféladatokat is:
- Microsoft Security Exposure Management
Helyszíni biztonsági mentési fájl kapacitása
Az OT hálózati érzékelő és a helyszíni felügyeleti konzol is naponta automatizált biztonsági mentéseket futtat.
Az OT-érzékelőn és a helyszíni felügyeleti konzolon a rendszer felülírja a régebbi biztonsági mentési fájlokat, amikor a konfigurált tárkapacitás elérte a maximális értékét.
További információkért lásd:
- Fájlok biztonsági mentésének és visszaállításának beállítása egy OT-érzékelőn
- Az OT-érzékelő biztonsági mentési beállításainak konfigurálása helyszíni felügyeleti konzolon
- Az OT-érzékelő biztonsági mentési beállításainak konfigurálása helyszíni felügyeleti konzolhoz
Biztonsági másolatok az OT hálózati érzékelőn
A biztonsági mentési fájlok megőrzése az érzékelő architektúrájától függ, mivel minden hardverprofilhoz meghatározott mennyiségű merevlemezterület van lefoglalva a biztonsági mentési előzményekhez:
| Hardverprofil | Lefoglalt merevlemez-terület |
|---|---|
| L100 | A biztonsági mentések nem támogatottak |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Ha az eszköz nem foglalt le merevlemez-területet, akkor a rendszer csak az utolsó biztonsági mentést menti a helyszíni felügyeleti konzolon.
Biztonsági másolatok a helyszíni felügyeleti konzolon
A helyszíni felügyeleti konzol biztonsági mentési fájljaihoz lefoglalt merevlemez-terület 10 GB-ra és csak 20 biztonsági mentésre korlátozódik.
Helyszíni felügyeleti konzol használata esetén minden csatlakoztatott OT-érzékelő saját, extra biztonsági mentési címtárral is rendelkezik a helyszíni felügyeleti konzolon:
- Egyetlen érzékelő biztonsági mentési fájlja legfeljebb 40 GB lehet. Az ilyen méretű fájlokat a rendszer nem küldi el a helyszíni felügyeleti konzolra.
- A helyszíni felügyeleti konzol összes érzékelőjének biztonsági mentéséhez lefoglalt teljes merevlemezterület 100 GB.
Következő lépések
További információkért lásd: