Gegevensretentie, privacy en delen in Microsoft Defender for IoT
Microsoft Defender for IoT slaat gegevens op in de Microsoft Azure-portal, in OT-netwerksensoren en in on-premises beheerconsoles.
Elk opslagtype heeft verschillende opties voor opslagcapaciteit en retentietijden. In dit artikel wordt het bewaarbeleid voor gegevens beschreven voor de hoeveelheid gegevens en de tijdsduur die de gegevens in elk opslagtype worden opgeslagen voordat ze worden verwijderd of overschreven.
Wat verzamelen we?
Defender for IoT verzamelt gegevens van uw geconfigureerde apparaten en slaat deze op in een servicespecifieke, klantspecifieke en gescheiden tenant. De opgeslagen gegevens zijn bedoeld voor beheer-, tracerings- en rapportagedoeleinden.
Verzamelde gegevens omvatten netwerkverbindingsgegevens (IP's en poorten) en apparaatgegevens (apparaat-id's, namen, besturingssysteemversies, firmwareversies). Defender for IoT slaat deze gegevens veilig op in overeenstemming met de privacyprocedures van Microsoft en het Vertrouwenscentrum van Microsoft.
Met deze gegevens kan Defender for IoT:
- Identificeer proactief indicatoren van aanvallen (IOA's) in uw organisatie.
- Waarschuwingen genereren als er een mogelijke aanval wordt gedetecteerd.
- Geef uw beveiligingsteam inzicht in apparaten en adressen met betrekking tot bedreigingssignalen van uw netwerk, zodat u mogelijke bedreigingen voor netwerkbeveiliging kunt onderzoeken en verkennen.
Microsoft gebruikt uw gegevens niet voor advertenties.
Gegevenslocatie
Defender for IoT maakt gebruik van de Microsoft Azure-datacenters in de Europese Unie en de Verenigde Staten. Klantgegevens die door de service worden verzameld, kunnen worden opgeslagen op een van de twee geografische locaties:
- De geolocatie van de tenant zoals aangegeven tijdens het inrichten.
- De geolocatie zoals gedefinieerd door de regels voor gegevensopslag van een onlineservice, die door Defender for IoT wordt gebruikt om de gegevens te verwerken.
Gegevensretentie
Gegevens van Defender for IoT worden bewaard zolang een klant actief is of gedurende 90 dagen na het einde van uw contract. Gedurende deze periode zijn de gegevens zichtbaar voor uw andere services in de portal.
Uw gegevens worden bewaard en zijn beschikbaar terwijl uw licentie onder een respijtperiode of in de onderbroken modus valt. 90 dagen na het einde van deze periode worden uw gegevens gewist uit de systemen van Microsoft, waardoor deze niet kunnen worden hersteld.
Bewaarperioden voor apparaatgegevens
In de volgende tabel ziet u hoe lang apparaatgegevens worden opgeslagen in elk Opslagtype Defender voor IoT.
| Opslagtype | DETAILS |
|---|---|
| Azure-portal | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw apparaatinventaris beheren vanuit Azure Portal voor meer informatie. |
| OT-netwerksensor | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw OT-apparaatinventaris beheren vanuit een sensorconsole voor meer informatie. |
| On-premises beheerconsole | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw OT-apparaatinventaris beheren vanuit een on-premises beheerconsole voor meer informatie. |
Retentie van waarschuwingsgegevens
In de volgende tabel ziet u hoe lang waarschuwingsgegevens worden opgeslagen in elk Opslagtype Defender voor IoT. Waarschuwingsgegevens worden opgeslagen zoals vermeld, ongeacht de status van de waarschuwing of of deze zijn geleerd of gedempt.
| Opslagtype | DETAILS |
|---|---|
| Azure-portal | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Waarschuwingen van Azure Portal weergeven en beheren voor meer informatie. |
| OT-netwerksensor | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Waarschuwingen voor uw sensor weergeven voor meer informatie. |
| On-premises beheerconsole | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Werken met waarschuwingen op de on-premises beheerconsole voor meer informatie. |
OT-waarschuwing pcAP-gegevensretentie
In de volgende tabel ziet u hoe lang PCAP-gegevens worden opgeslagen in elk type Defender for IoT-opslag.
| Opslagtype | DETAILS |
|---|---|
| Azure-portal | PCAP-bestanden zijn beschikbaar om te downloaden vanuit Azure Portal zolang de OT-netwerksensor ze opslaat. Zodra de bestanden zijn gedownload, worden de bestanden gedurende 48 uur in de cache opgeslagen in Azure Portal. Zie PcAP-gegevens van Access-waarschuwingen voor meer informatie. |
| OT-netwerksensor | Afhankelijk van de opslagcapaciteit van de sensor die is toegewezen voor PCAP-bestanden, die het hardwareprofiel bepaalt: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Als een sensor de maximale opslagcapaciteit overschrijdt, wordt het oudste PCAP-bestand verwijderd om ruimte te bieden aan het nieuwe bestand. Zie PcAP-gegevens en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie. |
| On-premises beheerconsole | PCAP-bestanden worden niet opgeslagen in de on-premises beheerconsole en zijn alleen toegankelijk vanuit de on-premises beheerconsole via een directe koppeling naar de OT-sensor. |
Het gebruik van beschikbare PCAP-opslagruimte is afhankelijk van factoren zoals het aantal waarschuwingen, het type waarschuwing en de netwerkbandbreedte, die allemaal van invloed zijn op de grootte van het PCAP-bestand.
Tip
Als u wilt voorkomen dat u afhankelijk bent van de opslagcapaciteit van de sensor, gebruikt u externe opslag om een back-up te maken van uw PCAP-gegevens.
Bewaarbeleid voor beveiligingsaanbeveling
Defender for IoT-beveiligingsaanbeveling wordt alleen opgeslagen in Azure Portal, gedurende 90 dagen vanaf het moment waarop de aanbeveling voor het eerst wordt gedetecteerd.
Zie Beveiligingspostuur verbeteren met aanbevelingen voor beveiliging voor meer informatie.
Retentie van OT-gebeurtenistijdlijn
Ot-gebeurtenistijdlijngegevens worden alleen opgeslagen op OT-netwerksensoren en de opslagcapaciteit verschilt, afhankelijk van het hardwareprofiel van de sensor.
De retentie van tijdlijngegevens voor gebeurtenissen wordt niet beperkt door tijd. Uitgaande van een frequentie van 500 gebeurtenissen per dag, kunnen alle hardwareprofielen de gebeurtenissen echter ten minste 90 dagenbewaren.
Als een sensor de maximale opslaggrootte overschrijdt, wordt het oudste gegevensbestand voor de gebeurtenistijdlijn verwijderd om ruimte te bieden aan het nieuwe bestand.
De volgende tabel bevat het maximum aantal gebeurtenissen dat voor elk hardwareprofiel kan worden opgeslagen:
| Hardwareprofiel | Aantal gebeurtenissen |
|---|---|
| C5600 | 10 miljoen gebeurtenissen |
| E1800 | 10 miljoen gebeurtenissen |
| E1000 | 6M-gebeurtenissen |
| E500 | 6M-gebeurtenissen |
| L500 | 3M-gebeurtenissen |
| L100 | 500-K-gebeurtenissen |
Zie Sensoractiviteit bijhouden en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie.
Retentie van OT-logboekbestanden
Service- en verwerkingslogboekbestanden worden 30 dagen na de aanmaakdatum opgeslagen in Azure Portal.
Andere OT-bewakingslogboekbestanden worden alleen opgeslagen op de OT-netwerksensor en de on-premises beheerconsole.
Zie voor meer informatie:
Back-upbestandscapaciteit
Zowel de OT-netwerksensor als de on-premises beheerconsole hebben geautomatiseerde back-ups die dagelijks worden uitgevoerd en oudere back-upbestanden worden overschreven wanneer de geconfigureerde opslagcapaciteit de limiet bereikt.
Zie voor meer informatie:
- Back-up- en herstelbestanden instellen op een OT-sensor
- Back-upinstellingen voor OT-sensor configureren in een on-premises beheerconsole
Back-ups op de OT-netwerksensor
De retentie van back-upbestanden is afhankelijk van de architectuur van de sensor, omdat voor elk hardwareprofiel een vaste hoeveelheid schijfruimte is toegewezen voor de back-upgeschiedenis:
| Hardwareprofiel | Toegewezen hardeschijfruimte |
|---|---|
| L100 | Back-ups worden niet ondersteund |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Als het apparaat onvoldoende schijfruimte kan toewijzen, wordt alleen de laatste back-up opgeslagen in de on-premises beheerconsole.
Back-ups op de on-premises beheerconsole
Toegewezen hardeschijfruimte voor back-upbestanden van de on-premises beheerconsole is beperkt tot 10 GB en tot slechts 20 back-ups.
Als u een on-premises beheerconsole gebruikt, heeft elke verbonden OT-sensor ook een eigen, extra back-upmap op de on-premises beheerconsole:
- Een back-upbestand van één sensor is beperkt tot maximaal 40 GB. Een bestand dat die grootte overschrijdt, wordt niet verzonden naar de on-premises beheerconsole.
- De totale vasteschijfruimte die is toegewezen aan sensorback-up van alle sensoren in de on-premises beheerconsole is 100 GB.
Gegevens delen voor Microsoft Defender for IoT
Microsoft Defender for IoT deelt gegevens, waaronder klantgegevens, onder de volgende Microsoft-producten, die ook zijn gelicentieerd door de klant.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender for Cloud
- Microsoft Defender voor Eindpunten
- Microsoft Security Exposure Management
Volgende stappen
Zie voor meer informatie: