Microsoft Sentinel (SIEM) とMicrosoft Defender XDRに収集したデータは、テーブルに格納されます。 Microsoft Defender ポータルを使用すると、データに関連付けられている保持期間とストア コストを管理できます。 保持とコストは、次の場合に管理できます。
- Microsoft SentinelまたはMicrosoft Defender XDRにデータを送信するようにデータ コネクタを構成します。
- 既存のテーブルとデータを管理します。
この記事では、Microsoft Defender ポータルでテーブルの保持と階層のオプションを管理し、セキュリティ操作を最適化し、Microsoft SentinelとMicrosoft Defender XDRのコストを削減する方法について説明します。
Defender ポータルで管理できるテーブルはどれですか?
このセクションでは、Microsoft Defender ポータルで管理できるテーブルの種類について説明します。
![Defender ポータルの [テーブル管理] 画面を示すスクリーンショット。](media/manage-data-overview/view-table-properties-microsoft-defender-portal.png#lightbox)
| テーブルの種類 | 説明 | 例 | ワークスペースMicrosoft Sentinelですか? |
|---|---|---|---|
| Microsoft Sentinel | 組み込みのテーブル(次を含む): - azureDiagnostics や SigninLogs などのテーブルをAzureします。 - テーブルをMicrosoft Sentinelします。 - Microsoft Defender XDR Microsoft Sentinelとの統合。これは、分析の保持期間を 30 日を超えて増やすと、Microsoft Sentinel ワークスペースに作成されます。 現在サポートされていないDefender XDRテーブルについては、XDR テーブルの種類に関するページを参照してください。 |
- Azure テーブル: AzureDiagnostics、SigninLogs- Microsoft Sentinel テーブル: AWSCloudTrail、SecurityAlert- XDR テーブル: DeviceEvents、AlertInfo |
はい |
| Custom | サマリー ルールテーブルや検索ジョブ結果テーブル、カスタム データ ソース テーブルなど、Microsoft Sentinel ワークスペース内のジョブを使用して手動で作成するテーブル。 |
_CLまたは_SRCHサフィックスを持つテーブル。 |
はい |
| Xdr | XDR の既定のレベルのテーブル。既定では 30 日間の分析リテンション期間があります。 これらのテーブルは表示できますが、Defender ポータルからは管理できません。 | IdentityInfo |
いいえ |
注:
Microsoft Sentinel ワークスペースの基本ログ テーブルは Defender ポータルから表示できますが、現在管理できるのは Log Analytics ワークスペースのみです。 Defender ポータルからこれらのテーブルを管理するには、Microsoft Sentinel ワークスペースでテーブル プランを基本から分析に変更します。
データ層とリテンション期間のしくみ
データは、次の 2 つの層のいずれかでMicrosoft Sentinelに保持できます。
分析レベル: このレベルでは、アラート、ハンティング、ブック、およびすべてのMicrosoft Sentinel機能でデータを使用できます。 次の 2 つの状態でデータが保持されます。
- 分析リテンション期間: この "ホット" 状態では、データはリアルタイムの分析 (高パフォーマンスクエリや分析ルールなど) や脅威ハンティングに完全に利用できます。 既定では、Microsoft SentinelとMicrosoft Defender XDRは、この層のデータを 30 日間保持します。 すべてのテーブルの保持期間を最大 2 年間まで、日割り当てされた毎月の長期保有期間の料金で延長できます。 Microsoft Sentinel ソリューション テーブルの保持期間を無料で 90 日間に延長できます。
- 総保有期間: 既定では、分析レベルのすべてのデータは、同じ保有期間のデータ レイクにミラーリングされます。 分析リテンション期間を超えて、レイク内のデータの保持期間を最大 12 年間、低コストで拡張できます。
データ レイク層: この低コストの "コールド" 層では、Microsoft Sentinelはレイクにのみデータを保持します。 データ レイク層のデータは、リアルタイムの分析機能や脅威ハンティングでは使用できません。 ただし、 KQL ジョブを使用して必要なときにいつでもレイク内のデータにアクセスしたり、スケジュールされた KQL または Spark ジョブを実行して時間の経過に伴う傾向を分析したり、サマリー ルールを使用して受信データからの分析情報を定期的に集計したりできます。
XDR データ: 既定では、Microsoft Defender XDR脅威ハンティング データは常に分析レベルで 30 日間使用できます。 分析レベルでこのデータの保持期間を最大 90 日間まで延長できます。この場合、インジェスト コストは発生しますが、ストレージは無料です。 分析で 90 日を超えて拡張すると、ストレージ コストも発生します。 データ レイク層にのみ取り込むこともできますが、データは常に分析レベルで 30 日間使用できます。 XDR データをデータ レイク層に直接取り込む方がコスト効率は高くなりますが、インジェスト、ストレージ、処理のコストが伴います。 このオプションでは、お客様は引き続き 30 日間分のデータを追加コストなしで Analytics レベルで取得できます。
これら 2 つのリテンション期間の種類の違いの詳細については、「 分析レベルとデータ レイク層を比較する」を参照してください。
次の図は、分析、データ レイク、XDR の既定のレベルの保持コンポーネントと、各層に適用されるテーブルの種類を示しています。
Microsoft Sentinel データ レイクの詳細については、「data lake Microsoft Sentinelとは」を参照してください。
分析レベルとデータ レイク層を比較する
次の表では、2 つの分析レベルとデータ レイク層とその主な特性を比較します。
| 比較 | Analytics レベル | Data Lake レベル |
|---|---|---|
| キーの特徴 | ログに対する高パフォーマンスのクエリとインデックス作成 (ホットリテンション期間または対話型リテンション期間とも呼ばれます)。 | 大規模なデータ ボリューム (コールド ストレージとも呼ばれます) のコスト効率の高い長期保有。 |
| 最適な | リアルタイム分析ルール、アラート、ハンティング、ブック、およびすべてのMicrosoft Sentinel機能。 | - コンプライアンスと規制のログ記録。 - 履歴傾向分析とフォレンジック。 - リアルタイム アラートに必要ないロータッチ データ。 |
| インジェスト コスト | 標準 | 最小限 |
| クエリの価格が含まれています | ✅ | ❌ |
| 最適化されたクエリ のパフォーマンス | ✅ |
❌ クエリの速度が低下します。 監査に適しています。 リアルタイム分析用に最適化されていません。 |
| クエリ機能 | Microsoft DefenderポータルとAzureポータルでの完全なクエリ機能と API の使用。 |
- 共用体と結合を含む完全なクエリ機能。 - スケジュールされた KQL または Spark ジョブを実行します。 - ノートブックを使用します。 |
| リアルタイム分析機能の完全なセット | ✅ | ❌ 分析ルール、ハンティング クエリ、パーサー、ウォッチリスト、ブック、プレイブックなど、一部の機能に関する制限事項。 |
| 検索ジョブ | ✅ | ✅ |
| 概要ルール | ✅ | ✅ 1 つのテーブルに対する完全な KQL。ルックアップを使用して分析テーブルのデータを使用して拡張できます |
| 復元 | ✅ | ❌ KQL ジョブと Notebook ジョブは、データを分析レベルに昇格させることができます。 |
| データのエクスポート | ✅ | ❌ |
| 保有期間 | Microsoft Sentinelの場合は 90 日、Microsoft Defender XDRの場合は 30 日間。 日割りで毎月の長期保有期間の料金で最大 2 年間まで延長できます。 |
既定では、分析リテンション期間と同じです。 最大12年まで延長できます。 |
テーブル設定を変更するとどうなりますか
テーブルの階層と保持の設定はいつでも切り替えることができます。
テーブルの階層の既定の xdr を分析からデータ レイクに変更すると、すべてのリアルタイム分析とハンティング クエリが機能しなくなります。
テーブルの総保有期間を短縮すると、Microsoft はデータを削除する前に 30 日間待機するため、変更を元に戻し、構成でエラーが発生した場合にデータ損失を回避できます。
合計リテンション期間を増やすと、新しい保持期間は、既にテーブルに取り込まれ、まだ削除されていないすべてのデータに適用されます。
既存のデータを使用してテーブルの分析保持設定を変更すると、変更はすぐに有効になります。
例:
- 分析レベルには、180 日間の分析リテンション期間を持つテーブルがあります。 既定では、[総保有期間] も 180 日に設定されます。
- 180 日間の合計保有期間を変更せずに、分析リテンション期間を 90 日に変更します。
- Microsoft Sentinelは、過去 90 日間のデータを分析リテンション期間から自動的に削除しますが、90 日から 180 日のデータをデータ レイクに格納し続けます。
Microsoft Sentinelで XDR データを管理する
既定では、Microsoft Defender XDRは、脅威ハンティング データを XDR の既定のレベルに 30 日間保持します。 このデータは、既定では分析レベルまたはデータ レイク層には取り込まれません。 サポートされている XDR テーブルの保持期間を 30 日を超えて最大 90 日延長した場合、Sentinelインジェスト コストは適用されますが、追加のストレージ コストはありません。 テーブルは、分析層の Microsoft Sentinel ワークスペースに作成され、データ レイク層にミラー化されます。
Azure portalで Microsoft Sentinel XDR コネクタを有効にすると、セットアップ中に選択したテーブルが分析層に自動的に取り込み、データ レイク層にミラー化されます。 既定のリテンション期間は 30 日で、最大 12 年間延長できます。 テーブルの一覧については、「Microsoft Sentinelとの統合Microsoft Defender XDR」を参照してください。 コネクタのデプロイ中に選択しなかったサポートされている XDR テーブルを分析層に取り込み、保持期間を 30 日以上に設定してデータ レイク層にミラーできます。
Microsoft Sentinel XDR コネクタを有効にしない場合、XDR テーブルは自動的に取り込まれませんが、Defender ポータルで分析またはデータ レイク層の保持期間を 30 日以上設定することで取り込むことができます。
保持設定を構成するときに [Data Lake レベル] オプションを選択することで、サポートされている XDR テーブルを データ レイク層 にのみ取り込むことができます。 詳細については、「 データ保持と階層化の構成」を参照してください。
分析層のリテンション期間と総保有期間を既定の 30 日間にリセットすることで、分析層へのデータの取り込みを停止します。 このアクションにより、Azure portalのコネクタが無効になります。
テーブルとデータの管理の詳細については、「既存のテーブル とデータを管理する」を参照してください。
XDR データの保持とコスト
次の表は、Microsoft Sentinelのさまざまなレベルの無料保有期間とコストへの影響をまとめたものです。
| 階層 | 保持 | 備考 |
|---|---|---|
| 高度なハンティング (既定値) | 30 日間 | XDR ライセンスに含まれる既定値 |
| Analytics レベル | 31 日から 90 日 | Sentinel対応ワークスペースの空きストレージ。 データはデータ レイクにミラーリングされます。 Sentinelインジェスト料金が適用されます。 |
| Data Lake | 設定。 既定では、分析レベルと同じです。 | 総リテンション期間が分析レベルのリテンション期間と同じ場合にストレージを解放します。 分析層の保有期間を超えてデータ レイクにデータを保持すると、データ レイクのストレージ コストが発生します。 データをデータ レイク層に直接取り込む場合、インジェスト、ストレージ、処理のコストが発生します。 |
課金とコストの詳細については、「Microsoft Sentinelの完全な課金モデルについて」を参照してください。
次の例では、XDR データは、分析レベルまたはデータ レイク層の保持設定に関係なく、少なくとも 30 日間の高度な検索を通じて使用できます。
| Analytics レベルのリテンション期間 | 総保有期間 | Analytics レベルのインジェスト コスト | Analytics レベルのストレージ コスト | Data Lake レベルのコスト |
|---|---|---|---|---|
| 30 日の既定値 | 30 日の既定値 | 追加コストなし | 該当なし | 該当なし |
| 90 日間 | 90 日間 | コストは、分析レベルのインジェストに適用されます。 | 追加コストは発生しません。 90日は無料で含まれています。 | 追加コストは発生しません。 合計リテンション期間は、分析レベルのリテンション期間と一致します。 |
| 90 日間 | 180 日間 | コストは、分析レベルのインジェストに適用されます。 | 追加コストなし。90日は無料で含まれています。 | コストは、90 日間の追加データ レイクリテンション期間 (180 日から 90 日間) に適用されます。 |
| 180 日間 | 1 年 | コストは、分析レベルのインジェストに適用されます。 | コストは、90 日間の追加の分析レベルリテンション期間に適用されます。 | コストは、185 日間の追加データ レイクリテンション期間 (365 日から 180 日間) に適用されます。 |
| 0 日 (データ レイクのみ) | 5 年 | 該当なし | 該当なし | コストは、インジェストと 5 年間のデータ レイクリテンション期間に適用されます。 |
次のステップ
次の詳細情報をご確認ください: