Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I dati raccolti in Microsoft Sentinel (SIEM) e Microsoft Defender XDR vengono archiviati nelle tabelle. Il portale di Microsoft Defender consente di gestire il periodo di conservazione e i costi di archiviazione associati ai dati. È possibile gestire la conservazione e i costi quando si:
- Configurare i connettori dati per inviare dati a Microsoft Sentinel o Microsoft Defender XDR.
- Gestire le tabelle e i dati esistenti.
Questo articolo illustra come gestire le opzioni di conservazione delle tabelle e livelli nel portale di Microsoft Defender per ottimizzare le operazioni di sicurezza e ridurre i costi in Microsoft Sentinel e Microsoft Defender XDR.
Quali tabelle è possibile gestire nel portale di Defender?
Questa sezione descrive i tipi di tabella che è possibile gestire nel portale di Microsoft Defender.
| Tipo di tabella | Descrizione | Esempi | Si trova nell'area di lavoro Microsoft Sentinel? |
|---|---|---|---|
| Microsoft Sentinel | Tabelle predefinite, tra cui: - Azure tabelle, ad esempio AzureDiagnostics e SigninLogs. - Microsoft Sentinel tabelle. - Microsoft Defender XDR l'integrazione con Microsoft Sentinel, creati nell'area di lavoro Microsoft Sentinel quando si aumenta il periodo di conservazione dell'analisi oltre i 30 giorni. Vedere il tipo di tabella XDR per Defender XDR tabelle attualmente non supportate. |
- Azure tabelle: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabelle: AWSCloudTrail,SecurityAlert- Tabelle XDR: DeviceEvents,AlertInfo |
Sì |
| Personalizzato | Tabelle create manualmente o tramite processi nell'area di lavoro Microsoft Sentinel, incluse le tabelle dei risultati delle regole di riepilogo e dei processi di ricerca e le tabelle di origine dati personalizzate. | Tabelle con _CL suffissi o _SRCH . |
Sì |
| XDR | Tabelle nel livello predefinito XDR, che hanno 30 giorni di conservazione dell'analisi per impostazione predefinita. È possibile visualizzare queste tabelle, ma non è possibile gestirle dal portale di Defender. | IdentityInfo |
No |
Nota
È possibile visualizzare le tabelle dei log di base nell'area di lavoro Microsoft Sentinel dal portale di Defender, ma è possibile gestirle solo dall'area di lavoro Log Analytics. Per gestire queste tabelle dal portale di Defender, modificare il piano di tabella da base a analisi nell'area di lavoro Microsoft Sentinel.
Funzionamento dei livelli dati e della conservazione
È possibile conservare i dati in Microsoft Sentinel in uno dei due livelli seguenti:
Livello di analisi: questo livello rende disponibili i dati per avvisi, ricerca, cartelle di lavoro e tutte le funzionalità di Microsoft Sentinel. Conserva i dati in due stati:
- Conservazione dell'analisi: in questo stato "ad accesso frequente" i dati sono completamente disponibili per l'analisi in tempo reale, incluse le query a prestazioni elevate e le regole di analisi, e la ricerca delle minacce. Per impostazione predefinita, Microsoft Sentinel e Microsoft Defender XDR conservare i dati in questo livello per 30 giorni. È possibile estendere il periodo di conservazione di tutte le tabelle fino a due anni con un addebito di conservazione a lungo termine mensile ripartito proporzionalmente. È possibile estendere gratuitamente il periodo di conservazione di Microsoft Sentinel tabelle della soluzione a 90 giorni.
- Conservazione totale: per impostazione predefinita, tutti i dati nel livello di analisi vengono sottoposti a mirroring nel data lake per lo stesso periodo di conservazione. È possibile estendere la conservazione dei dati nel lago oltre la conservazione dell'analisi, per un massimo di 12 anni di conservazione totale a basso costo.
Livello Data Lake: in questo livello "a freddo" a basso costo, Microsoft Sentinel conserva solo i dati nel lago. I dati nel livello data lake non sono disponibili per le funzionalità di analisi in tempo reale e la ricerca delle minacce. Tuttavia, è possibile accedere ai dati nel lake ogni volta che sono necessari tramite processi KQL, analizzare le tendenze nel tempo eseguendo processi KQL o Spark pianificati e aggregare informazioni dettagliate dai dati in ingresso a cadenza regolare usando regole di riepilogo.
Dati XDR: per impostazione predefinita, Microsoft Defender XDR dati di ricerca delle minacce è sempre disponibile nel livello di analisi per 30 giorni. È possibile estendere la conservazione di questi dati nel livello di analisi fino a 90 giorni, con costi di inserimento, ma l'archiviazione è gratuita. Anche l'estensione di oltre 90 giorni nell'analisi comporta costi di archiviazione. È anche possibile inserire esclusivamente nel livello data lake, ma i dati sono sempre disponibili nel livello di analisi per 30 giorni. L'inserimento dei dati XDR direttamente nel livello data lake è più conveniente, ma comporta costi di inserimento, archiviazione ed elaborazione. In questa opzione, i clienti ottengono comunque 30 giorni di dati nel livello Analytics senza costi aggiuntivi.
Per altre informazioni sulle differenze tra questi due tipi di conservazione, vedere Confrontare i livelli di analisi e data lake.
Questo diagramma mostra i componenti di conservazione dei livelli predefiniti di analisi, data lake e XDR e quali tipi di tabella si applicano a ogni livello:
Per altre informazioni sul data lake Microsoft Sentinel, vedere What is Microsoft Sentinel data lake( Che cos'è Microsoft Sentinel data lake).
Confrontare i livelli di analisi e data lake
Questa tabella confronta i due livelli di analisi e data lake e le relative caratteristiche principali:
| Confronto | Livello di analisi | Livello Data Lake |
|---|---|---|
| Caratteristiche principali | Query e indicizzazione a prestazioni elevate per i log (noti anche come conservazione ad accesso frequente o interattivo). | Conservazione a lungo termine conveniente dei volumi di dati di grandi dimensioni (nota anche come archiviazione a freddo). |
| Ideale per | Regole di analisi in tempo reale, avvisi, ricerca, cartelle di lavoro e tutte le funzionalità di Microsoft Sentinel. | - Conformità e registrazione delle normative. - Analisi cronologica delle tendenze e analisi forense. - Dati a basso tocco non necessari per gli avvisi in tempo reale. |
| Costo di inserimento | Standard | Minima |
| Prezzo della query incluso | ✅ | ❌ |
| Prestazioni delle query ottimizzate | ✅ |
❌ Query più lente. Ideale per il controllo. Non ottimizzato per l'analisi in tempo reale. |
| Funzionalità di query | Funzionalità di query complete nei portali Microsoft Defender e Azure e usando le API. |
-
Funzionalità di query complete , incluse unioni e join. - Eseguire processi KQL o Spark pianificati. - Usare notebook. |
| Set completo di funzionalità di analisi in tempo reale | ✅ | ❌ Limitazioni per alcune funzionalità, tra cui regole di analisi, query di ricerca, parser, watchlist, cartelle di lavoro e playbook. |
| Processi di ricerca | ✅ | ✅ |
| Regole di riepilogo | ✅ | ✅ KQL completo in una singola tabella, che è possibile estendere con i dati di una tabella di analisi usando la ricerca |
| Eseguire il ripristino | ✅ | ❌ I processi KQL e Notebook possono promuovere i dati al livello di analisi. |
| Esportazione dei dati | ✅ | ❌ |
| Periodo di conservazione | 90 giorni per Microsoft Sentinel, 30 giorni per Microsoft Defender XDR. Può essere esteso fino a due anni con un addebito di conservazione a lungo termine mensile ripartito. |
Uguale alla conservazione dell'analisi, per impostazione predefinita. Può essere esteso fino a 12 anni. |
Cosa accade quando si modificano le impostazioni della tabella
È possibile cambiare il livello di una tabella e le impostazioni di conservazione in qualsiasi momento.
Quando si modifica il livello predefinito di una tabella xdr dall'analisi al data lake, tutte le query di analisi e ricerca in tempo reale smettono di funzionare.
Quando si riduce la conservazione totale di una tabella, Microsoft attende 30 giorni prima di rimuovere i dati, in modo da poter ripristinare la modifica ed evitare la perdita di dati se si è verificato un errore nella configurazione.
Quando si aumenta la conservazione totale, il nuovo periodo di conservazione si applica a tutti i dati già inseriti nella tabella e non ancora rimossi.
Quando si modificano le impostazioni di conservazione dell'analisi di una tabella con dati esistenti, la modifica viene applicata immediatamente.
Esempio:
- È disponibile una tabella nel livello di analisi con 180 giorni di conservazione dell'analisi. Per impostazione predefinita, anche la conservazione totale è impostata su 180 giorni.
- La conservazione dell'analisi viene modificata in 90 giorni senza modificare il periodo di conservazione totale di 180 giorni.
- Microsoft Sentinel rimuove automaticamente gli ultimi 90 giorni di dati dalla conservazione analitica, ma continua a archiviare i dati di 90-180 giorni nel data lake.
Gestire i dati XDR in Microsoft Sentinel
Per impostazione predefinita, Microsoft Defender XDR conserva i dati di ricerca delle minacce nel livello predefinito XDR per 30 giorni. Questi dati non vengono inseriti nei livelli di analisi o data lake per impostazione predefinita. Se si estende il periodo di conservazione delle tabelle XDR supportate oltre i 30 giorni e fino a 90 giorni, si applicano Sentinel costi di inserimento, ma non sono previsti costi di archiviazione aggiuntivi. Le tabelle vengono create nell'area di lavoro Microsoft Sentinel nel livello di analisi e sottoposte a mirroring nel livello data lake.
Se si abilita il connettore XDR Microsoft Sentinel nel portale di Azure, le tabelle selezionate durante l'installazione vengono inserite automaticamente nel livello di analisi e sottoposte a mirroring nel livello data lake. La conservazione predefinita è di 30 giorni ed è possibile estenderla fino a 12 anni. Per un elenco di tabelle, vedere integrazione Microsoft Defender XDR con Microsoft Sentinel. È possibile inserire le tabelle XDR supportate che non sono state selezionate durante la distribuzione del connettore nel livello di analisi e eseguirne il mirroring al livello data lake impostando la conservazione su più di 30 giorni.
Se non si abilita il connettore XDR Microsoft Sentinel, le tabelle XDR non vengono aggiunte automaticamente, ma è comunque possibile inserirle impostando la conservazione dei livelli di analisi o data lake per più di 30 giorni nel portale di Defender.
È possibile scegliere di inserire le tabelle XDR supportate esclusivamente nel livello data lake selezionando l'opzione Livello Data Lake quando si configurano le impostazioni di conservazione. Per altre informazioni, vedere Configurare la conservazione dei dati e la suddivisione in livelli.
Arrestare l'inserimento dei dati nel livello di analisi reimpostando la conservazione del livello di analisi e la conservazione totale sui 30 giorni predefiniti. Questa azione disabilita il connettore nel portale di Azure.
Per altre informazioni sulla gestione di tabelle e dati, vedere Gestire le tabelle e i dati esistenti.
Conservazione e costi dei dati XDR
Le tabelle seguenti riepilogano i periodi di conservazione gratuiti e le implicazioni sui costi per i diversi livelli in Microsoft Sentinel:
| Livello | Conservazione | Note |
|---|---|---|
| Ricerca avanzata (impostazione predefinita) | 30 giorni | Impostazione predefinita, inclusa nella licenza XDR |
| Livello di analisi | 31-90 giorni | Spazio di archiviazione gratuito per le aree di lavoro abilitate per Sentinel. Il mirroring dei dati viene eseguito nel data lake. Sentinel si applicano addebiti per l'inserimento. |
| Data Lake | Configurabile. Per impostazione predefinita, lo stesso livello di analisi. | Archiviazione gratuita quando la conservazione totale è uguale alla conservazione del livello di analisi. La conservazione dei dati nel data lake oltre il periodo di conservazione del livello di analisi comporta costi di archiviazione data lake. L'inserimento dei dati direttamente al livello data lake comporta costi di inserimento, archiviazione ed elaborazione. |
Per altre informazioni su fatturazione e costi, vedere Comprendere il modello di fatturazione completo per Microsoft Sentinel
Negli esempi seguenti i dati XDR sono disponibili tramite la ricerca avanzata per almeno 30 giorni, indipendentemente dalle impostazioni di conservazione nei livelli di analisi o data lake.
| Conservazione dei livelli di analisi | Conservazione totale | Costi di inserimento del livello di analisi | Costi di archiviazione a livello di analisi | Costi del livello Data Lake |
|---|---|---|---|---|
| Impostazione predefinita di 30 giorni | Impostazione predefinita di 30 giorni | Nessun costo aggiuntivo | N/D | N/D |
| 90 giorni | 90 giorni | I costi si applicano all'inserimento del livello di analisi. | Nessun costo aggiuntivo. 90 giorni inclusi gratuitamente. | Nessun costo aggiuntivo. La conservazione totale corrisponde alla conservazione del livello di analisi. |
| 90 giorni | 180 giorni | I costi si applicano all'inserimento del livello di analisi. | Nessun costo aggiuntivo; 90 giorni inclusi gratuitamente. | I costi si applicano per 90 giorni di conservazione aggiuntiva del data lake (da 180 a 90 giorni). |
| 180 giorni | 1 anno | I costi si applicano all'inserimento del livello di analisi. | I costi si applicano per 90 giorni di conservazione aggiuntiva del livello di analisi. | I costi si applicano per 185 giorni di conservazione aggiuntiva del data lake (da 365 a 180 giorni). |
| 0 giorni (solo data lake) | 5 anni | N/D | N/D | I costi si applicano per l'inserimento e per 5 anni di conservazione del data lake. |
Passaggi successivi
Altre informazioni su: