Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gegevens die u verzamelt in Microsoft Sentinel (SIEM) en Microsoft Defender XDR worden opgeslagen in tabellen. Met de Microsoft Defender-portal kunt u de bewaarperiode en de opslagkosten beheren die zijn gekoppeld aan uw gegevens. U kunt retentie en kosten beheren wanneer u:
- Configureer gegevensconnectors om gegevens te verzenden naar Microsoft Sentinel of Microsoft Defender XDR.
- Uw bestaande tabellen en gegevens beheren.
In dit artikel wordt uitgelegd hoe u opties voor tabelretentie en -lagen beheert in de Microsoft Defender-portal om beveiligingsbewerkingen te optimaliseren en de kosten in Microsoft Sentinel en Microsoft Defender XDR te verlagen.
Welke tabellen kunt u beheren in de Defender-portal?
In deze sectie worden de tabeltypen beschreven die u kunt beheren in de Microsoft Defender-portal.
| Tabeltype | Beschrijving | Voorbeelden | Bevindt zich in de Microsoft Sentinel-werkruimte? |
|---|---|---|---|
| Microsoft Sentinel | Ingebouwde tabellen, waaronder: - Azure-tabellen, zoals AzureDiagnostics en SigninLogs. - Microsoft Sentinel-tabellen. - Microsoft Defender XDR-integratie met Microsoft Sentinel, die worden gemaakt in uw Microsoft Sentinel-werkruimte wanneer u de bewaarperiode voor analyses na 30 dagen verhoogt. Zie het XDR-tabeltype voor Defender XDR-tabellen die momenteel niet worden ondersteund. |
- Azure-tabellen: AzureDiagnostics, SigninLogs- Microsoft Sentinel-tabellen: AWSCloudTrail, SecurityAlert- XDR-tabellen: DeviceEvents,AlertInfo |
Ja |
| Aangepast | Tabellen die u handmatig of via taken maakt in uw Microsoft Sentinel-werkruimte, inclusief overzichtsregel- en zoekresultatentabellen en aangepaste gegevensbrontabellen. | Tabellen met _CL of _SRCH achtervoegsels. |
Ja |
| XDR | Tabellen in de standaardlaag van XDR beschikken standaard over 30 dagen aan analyseretentie. U kunt deze tabellen bekijken, maar u kunt ze niet beheren vanuit de Defender-portal. | IdentityInfo |
Nee. |
Opmerking
U kunt tabellen met basislogboeken bekijken in uw Microsoft Sentinel-werkruimte vanuit de Defender-portal, maar u kunt ze alleen beheren vanuit uw Log Analytics-werkruimte. Als u deze tabellen wilt beheren vanuit de Defender-portal, wijzigt u het tabelplan van basic in analyses in uw Microsoft Sentinel-werkruimte.
Hoe gegevenslagen en retentie werken
U kunt gegevens in Microsoft Sentinel bewaren in een van de volgende twee lagen:
Analyselaag: Deze laag maakt gegevens beschikbaar voor waarschuwingen, opsporing, werkmappen en alle Functies van Microsoft Sentinel. Gegevens worden in twee statussen bewaard:
- Retentie van analyses: in deze 'dynamische' status zijn gegevens volledig beschikbaar voor realtime analyses, waaronder query's en analyseregels voor hoge prestaties, en opsporing van bedreigingen. Standaard bewaren Microsoft Sentinel en Microsoft Defender XDR gegevens in deze laag 30 dagen. U kunt de bewaarperiode van alle tabellen uitbreiden tot maximaal twee jaar met een maandelijkse langetermijnretentiekost. U kunt de bewaarperiode van Microsoft Sentinel-oplossingstabellen gratis verlengen tot 90 dagen.
- Totale retentie: standaard worden alle gegevens in de analyselaag gespiegeld naar de Data Lake voor dezelfde bewaarperiode. U kunt de retentie van uw gegevens in de lake uitbreiden buiten de retentie van analyses, voor maximaal 12 jaar aan totale retentie tegen lage kosten.
Data Lake-laag: In deze koude opslaglaag met lage kosten bewaart Microsoft Sentinel uw gegevens uitsluitend in de lake. Gegevens in de Data Lake-laag zijn niet beschikbaar voor realtime analysefuncties en opsporing van bedreigingen. U kunt echter altijd toegang krijgen tot gegevens in het lake wanneer u deze nodig hebt via KQL-taken, trends in de loop van de tijd analyseren door geplande KQL- of Spark-taken uit te voeren en inzichten uit binnenkomende gegevens met regelmatige frequentie samen te voegen met behulp van samenvattingsregels.
XDR-gegevens: Microsoft Defender XDR-gegevens voor het opsporen van bedreigingen zijn standaard gedurende 30 dagen altijd beschikbaar in de analyselaag. Klanten kunnen de retentie van deze gegevens in de analyselaag uitbreiden tot maximaal 90 dagen, opgenomen in de XDR-licentie, zonder extra kosten. U kunt ook exclusief opnemen in de data lake-laag, maar de gegevens zijn altijd gedurende 30 dagen beschikbaar in de analyselaag in deze toestand.
Zie De analyse- en data lake-lagen vergelijken voor meer informatie over de verschillen tussen deze twee bewaartypen.
In dit diagram ziet u de bewaaronderdelen van de standaardlagen analyse, data lake en XDR, en welke tabeltypen van toepassing zijn op elke laag:
Zie Wat is Microsoft Sentinel data lake voor meer informatie over de Data Lake van Microsoft Sentinel.
De analyse- en data lake-lagen vergelijken
In deze tabel worden de twee analyse- en data lake-lagen en de belangrijkste kenmerken ervan vergeleken:
| Vergelijking | Analyselaag | Data Lake-laag |
|---|---|---|
| Belangrijkste kenmerken | Queryen en indexering met hoge prestaties voor logboeken (ook wel directe of interactieve retentie genoemd). | Rendabele langetermijnretentie van grote gegevensvolumes (ook wel koude opslag genoemd). |
| Ideaal voor | Realtime analyseregels, waarschuwingen, opsporing, werkmappen en alle Functies van Microsoft Sentinel. | - Naleving en logboekregistratie van regelgeving. - Historische trendanalyse en forensische gegevens. - Gegevens met weinig aanraking die niet nodig zijn voor realtime waarschuwingen. |
| Verwerkingskosten | Standaard | Minimaal |
| Aanvraagkosten inbegrepen | ✅ | ❌ |
| Gepoptimaliseerde prestaties voor queries | ✅ |
❌ Tragere queries. Goed voor controle. Niet geoptimaliseerd voor realtime analyse. |
| Querymogelijkheden | Volledige querymogelijkheden in de Microsoft Defender- en Azure-portals en het gebruik van API's. |
-
Volledige querymogelijkheden , waaronder samenvoegingen en joins. - Geplande KQL- of Spark-opdrachten uitvoeren. - Notebooks gebruiken. |
| Volledige set live analysemogelijkheden | ✅ | ❌ Beperkingen voor sommige functies, waaronder analyseregels, opsporingsquery's, parsers, volglijsten, werkmappen en playbooks. |
| Vacatures zoeken | ✅ | ✅ |
| Samenvattingsregels | ✅ | ✅ Volledige KQL op één tabel, die u kunt uitbreiden met gegevens uit een analysetabel met behulp van opzoeken |
| Herstellen | ✅ | ❌ KQL- en Notebook-taken kunnen gegevens promoveren naar de analyselaag. |
| Gegevensexport | ✅ | ❌ |
| Bewaarperiode | 90 dagen voor Microsoft Sentinel, 30 dagen voor Microsoft Defender XDR. Kan worden verlengd tot maximaal twee jaar tegen een maandelijkse langetermijnretentievergoeding naar rato. |
Hetzelfde als het bewaren van analyses, standaard. Kan worden verlengd tot 12 jaar. |
Wat gebeurt er wanneer u tabelinstellingen wijzigt
U kunt de laag- en bewaarinstellingen van een tabel op elk gewenst moment wijzigen.
Wanneer u de laag van een tabel wijzigt van analyse naar Data Lake, werken alle realtime analyse- en opsporingsquery's niet meer.
Wanneer u de totale retentie van een tabel verkort, wacht Microsoft 30 dagen voordat u de gegevens verwijdert, zodat u de wijziging kunt herstellen en gegevensverlies kunt voorkomen als u een fout in de configuratie hebt gemaakt.
Wanneer u de totale retentie verhoogt, is de nieuwe bewaarperiode van toepassing op alle gegevens die al in de tabel zijn opgenomen en nog niet zijn verwijderd.
Wanneer u de bewaarinstellingen voor analyses van een tabel met bestaande gegevens wijzigt, wordt de wijziging onmiddellijk van kracht.
Voorbeeld:
- U hebt een tabel in de analyselaag met 180 dagen aan retentie van analyses. Standaard is de totale retentie ingesteld op 180 dagen.
- U wijzigt de retentie van analyses in 90 dagen zonder de totale bewaarperiode van 180 dagen te wijzigen.
- Microsoft Sentinel verwijdert automatisch de laatste 90 dagen aan gegevens uit de retentie van analyses, maar blijft gegevens opslaan die 90-180 dagen in de data lake zijn.
XDR-gegevens beheren in Microsoft Sentinel
Standaard bewaart Microsoft Defender XDR gegevens voor het opsporen van bedreigingen in de XDR-standaardlaag gedurende 30 dagen. Deze gegevens worden standaard niet opgenomen in de analyse- of data lake-lagen. Als u de bewaarperiode van de ondersteunde XDR-tabellen langer dan 30 dagen verlengt, worden de tabellen gemaakt in uw Microsoft Sentinel-werkruimte in de analyselaag en gespiegeld naar de Data Lake-laag.
Als u de Microsoft Sentinel XDR-connector inschakelt in Azure Portal, worden de tabellen die u tijdens de installatie selecteert, automatisch opgenomen in de analyselaag en gespiegeld naar de Data Lake-laag. De standaardretentie is 30 dagen en u kunt deze uitbreiden tot 12 jaar. Zie Microsoft Defender XDR-integratie met Microsoft Sentinel voor een lijst met tabellen. U kunt ondersteunde XDR-tabellen opnemen die u niet hebt geselecteerd tijdens de implementatie van de connector in de analyselaag en deze spiegelen naar de Data Lake-laag door de retentie in te stellen op meer dan 30 dagen.
Als u de Microsoft Sentinel XDR-connector niet inschakelt, worden XDR-tabellen niet automatisch opgenomen, maar kunt u ze nog steeds opnemen door analyse- of data lake-laagretentie gedurende meer dan 30 dagen in de Defender-portal in te stellen.
U kunt ervoor kiezen om ondersteunde XDR-tabellen exclusief op te nemen in de data lake-laag door de optie Data lake-laag te selecteren bij het configureren van de bewaarinstellingen. Voor meer informatie, zie Gegevensretentie en -laagstelling configureren.
Stop met het opnemen van gegevens in de analyselaag door de bewaarperiode en de totale retentie van de analyselaag opnieuw in te zetten op de standaard 30 dagen. Met deze actie wordt de connector uitgeschakeld in Azure Portal.
Zie Uw bestaande tabellen en gegevens beheren voor meer informatie over het beheren van uw tabellen en gegevens.
XDR-gegevensretentie en -kosten
De volgende tabellen bevatten een overzicht van de gratis bewaarperioden en kosteneffecten voor de verschillende lagen in Microsoft Sentinel:
| Rang | Retention | Opmerkingen |
|---|---|---|
| Geavanceerde opsporing (standaard) | 30 dagen | Standaard, opgenomen in XDR-licentie |
| Analyselaag | 90 dagen | Gratis opslag voor werkruimten met Sentinel-functionaliteit. Opnamekosten zijn van toepassing. |
| Datalake | Configureerbare. Standaard hetzelfde als de analyselaag. | Gratis opslag wanneer de totale retentie hetzelfde is als de retentie van de analyselaag. Voor het bewaren van gegevens in de data lake na de bewaarperiode van de analyselaag, of uitsluitend in de Data Lake-laag, worden extra opslagkosten in rekening gebracht. |
Zie Inzicht in het volledige factureringsmodel voor Microsoft Sentinel voor meer informatie over facturering en kosten
In de volgende voorbeelden zijn XDR-gegevens beschikbaar via geavanceerde opsporing gedurende ten minste 30 dagen, ongeacht de bewaarinstellingen in de analyse- of data lake-lagen.
| Retentie van analyselagen | Totale retentie | Opnamekosten voor analyselagen | Opslagkosten voor analyselagen | Kosten voor Data Lake-laag |
|---|---|---|---|---|
| Standaard 30 dagen | Standaard 30 dagen | Geen extra kosten | N/A | N/A |
| 90 dagen | 90 dagen | Kosten zijn van toepassing op opname van analyselagen. | Geen extra kosten. 90 dagen gratis inbegrepen. | Geen extra kosten. Totale retentie komt overeen met de retentie van de analyselaag. |
| 90 dagen | 180 dagen | Kosten zijn van toepassing op opname van analyselagen. | Geen extra kosten; 90 dagen gratis inbegrepen. | Kosten zijn van toepassing op 90 dagen extra data lake-retentie (180 - 90 dagen). |
| 180 dagen | 1 jaar | Kosten zijn van toepassing op opname van analyselagen. | Kosten zijn 90 dagen van extra retentie van analyselagen van toepassing. | Kosten gelden voor 185 dagen extra data lake-retentie (365 - 180 dagen). |
| 0 dagen (alleen data lake) | Vijf jaar | N/A | N/A | Kosten zijn van toepassing op invoer en voor 5 jaar retentie van de data lake. |
Volgende stappen
Meer informatie over: