Conservazione e condivisione dei dati in Microsoft Defender per IoT
I sensori di Microsoft Defender per IoT apprendono una baseline del traffico di rete durante il periodo di apprendimento iniziale dopo la distribuzione. Questa baseline appresa viene archiviata a tempo indeterminato nei sensori.
Defender per IoT archivia anche altri dati nei portale di Azure, nei sensori di rete OT e nelle console di gestione locali.
Ogni posizione di archiviazione offre una certa capacità di archiviazione e tempi di conservazione. Questo articolo descrive quanto e per quanto tempo ogni tipo di dati viene archiviato in ogni posizione prima che venga eliminato o sottoposto a override.
Periodi di conservazione dei dati del dispositivo
La tabella seguente elenca per quanto tempo i dati del dispositivo vengono archiviati in ogni posizione di Defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore. |
| Console di gestione locale | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console di gestione locale. |
Conservazione dei dati degli avvisi
La tabella seguente elenca il tempo di archiviazione dei dati degli avvisi in ogni posizione di Defender per IoT. I dati degli avvisi vengono archiviati come elencati, indipendentemente dallo stato dell'avviso o dal fatto che siano stati appresi o disattivati.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Visualizzare e gestire gli avvisi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Visualizzare gli avvisi nel sensore. |
| Console di gestione locale | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Usare gli avvisi nella console di gestione locale. |
Conservazione dei dati PCAP dell'avviso OT
La tabella seguente elenca per quanto tempo i dati PCAP vengono archiviati in ogni posizione di Defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | I file PCAP sono disponibili per il download dal portale di Azure purché il sensore di rete OT li archivii. Dopo il download, i file vengono memorizzati nella cache nella portale di Azure per 48 ore. Per altre informazioni, vedere Accedere ai dati PCAP degli avvisi. |
| Sensore di rete OT | A seconda della capacità di archiviazione del sensore allocata per i file PCAP, determinata dal profilo hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Se un sensore supera la capacità di archiviazione massima, il file PCAP meno recente viene eliminato per supportare il nuovo file. Per altre informazioni, vedere Access alert PCAP data and Pre-configured physical appliances for OT monitoring .For more information, see Access alert PCAP data and Pre-configured physical appliances for OT monitoring. |
| Console di gestione locale | I file PCAP non vengono archiviati nella console di gestione locale e sono accessibili solo dalla console di gestione locale tramite un collegamento diretto al sensore OT. |
L'utilizzo dello spazio di archiviazione PCAP disponibile dipende da fattori quali il numero di avvisi, il tipo di avviso e la larghezza di banda di rete, che influiscono sulle dimensioni del file PCAP.
Suggerimento
Per evitare di dipendere dalla capacità di archiviazione del sensore, usare l'archiviazione esterna per eseguire il backup dei dati PCAP.
Conservazione delle raccomandazioni di sicurezza
Le raccomandazioni sulla sicurezza di Defender per IoT vengono archiviate solo nei portale di Azure, per 90 giorni da quando viene rilevata la raccomandazione per la prima volta.
Per altre informazioni, vedere Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza.
Conservazione della sequenza temporale degli eventi OT
I dati della sequenza temporale degli eventi OT vengono archiviati solo nei sensori di rete OT e la capacità di archiviazione varia a seconda del profilo hardware del sensore.
La conservazione dei dati della sequenza temporale degli eventi non è limitata in base al tempo. Tuttavia, presupponendo una frequenza di 500 eventi al giorno, tutti i profili hardware potranno conservare gli eventi per almeno 90 giorni.
Se un sensore supera le dimensioni massime di archiviazione, il file di dati della sequenza temporale degli eventi meno recente viene eliminato per supportare quello nuovo.
La tabella seguente elenca il numero massimo di eventi che possono essere archiviati per ogni profilo hardware:
| Profilo hardware | Numero di eventi |
|---|---|
| C5600 | 10M eventi |
| E1800 | 10M eventi |
| E1000 | Eventi 6M |
| E500 | Eventi 6M |
| L500 | Eventi 3M |
| L100 | 500-K eventi |
Per altre informazioni, vedere Tenere traccia dell'attività dei sensori e delle appliance fisiche preconfigurato per il monitoraggio OT.
Conservazione dei file di log OT
I file di log di elaborazione e di servizio vengono archiviati nella portale di Azure per 30 giorni dalla data di creazione.
Altri file di log di monitoraggio OT vengono archiviati solo nel sensore di rete OT e nella console di gestione locale.
Per altre informazioni, vedi:
Condivisione dei dati
Defender per IoT condivide i dati, inclusi i dati dei clienti, tra i seguenti prodotti Microsoft concessi in licenza anche dal cliente:
- Gestione dell'esposizione alla sicurezza Microsoft
Capacità dei file di backup locali
Sia il sensore di rete OT che la console di gestione locale hanno backup automatici eseguiti ogni giorno.
Sia nel sensore OT che nella console di gestione locale, i file di backup meno recenti vengono sottoposti a override quando la capacità di archiviazione configurata ha raggiunto il massimo.
Per altre informazioni, vedi:
- Configurare i file di backup e ripristino in un sensore OT
- Configurare le impostazioni di backup del sensore OT in una console di gestione locale
- Configurare le impostazioni di backup del sensore OT per una console di gestione locale
Backup nel sensore di rete OT
La conservazione dei file di backup dipende dall'architettura del sensore, poiché ogni profilo hardware ha una quantità di spazio su disco rigido allocata per la cronologia dei backup:
| Profilo hardware | Spazio su disco rigido allocato |
|---|---|
| L100 | I backup non sono supportati |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Se il dispositivo non ha allocato spazio su disco rigido, solo l'ultimo backup verrà salvato nella console di gestione locale.
Backup nella console di gestione locale
Lo spazio su disco rigido allocato per i file di backup della console di gestione locale è limitato a 10 GB e a soli 20 backup.
Se si usa una console di gestione locale, ogni sensore OT connesso ha anche una propria directory di backup aggiuntiva nella console di gestione locale:
- Un singolo file di backup del sensore è limitato a un massimo di 40 GB. Un file che supera tale dimensione non verrà inviato alla console di gestione locale.
- Lo spazio su disco rigido totale allocato al backup del sensore da tutti i sensori nella console di gestione locale è 100 GB.
Passaggi successivi
Per altre informazioni, vedi: