Gegevensretentie in Microsoft Defender for IoT
Microsoft Defender voor IoT-sensoren leren een basislijn van uw netwerkverkeer tijdens de eerste leerperiode na de implementatie. Deze geleerde basislijn wordt voor onbepaalde tijd opgeslagen op uw sensoren.
Defender for IoT slaat ook andere gegevens op in Azure Portal, op OT-netwerksensoren en on-premises beheerconsoles.
Elke opslaglocatie biedt een bepaalde opslagcapaciteit en retentietijden. In dit artikel wordt beschreven hoeveel en hoe lang elk type gegevens op elke locatie wordt opgeslagen voordat deze worden verwijderd of overschreven.
Bewaarperioden voor apparaatgegevens
In de volgende tabel ziet u hoe lang apparaatgegevens worden opgeslagen op elke Defender for IoT-locatie.
Opslagtype | DETAILS |
---|---|
Azure-portal | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw apparaatinventaris beheren vanuit Azure Portal voor meer informatie. |
OT-netwerksensor | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw OT-apparaatinventaris beheren vanuit een sensorconsole voor meer informatie. |
On-premises beheerconsole | 90 dagen vanaf de datum van de laatste activiteitswaarde . Zie Uw OT-apparaatinventaris beheren vanuit een on-premises beheerconsole voor meer informatie. |
Retentie van waarschuwingsgegevens
In de volgende tabel ziet u hoe lang waarschuwingsgegevens worden opgeslagen op elke Defender for IoT-locatie. Waarschuwingsgegevens worden opgeslagen zoals vermeld, ongeacht de status van de waarschuwing of of deze zijn geleerd of gedempt.
Opslagtype | DETAILS |
---|---|
Azure-portal | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Waarschuwingen van Azure Portal weergeven en beheren voor meer informatie. |
OT-netwerksensor | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Waarschuwingen voor uw sensor weergeven voor meer informatie. |
On-premises beheerconsole | 90 dagen vanaf de datum in de eerste detectiewaarde . Zie Werken met waarschuwingen op de on-premises beheerconsole voor meer informatie. |
OT-waarschuwing pcAP-gegevensretentie
In de volgende tabel ziet u hoe lang PCAP-gegevens worden opgeslagen op elke Defender for IoT-locatie.
Opslagtype | DETAILS |
---|---|
Azure-portal | PCAP-bestanden zijn beschikbaar om te downloaden vanuit Azure Portal zolang de OT-netwerksensor ze opslaat. Zodra de bestanden zijn gedownload, worden de bestanden gedurende 48 uur in de cache opgeslagen in Azure Portal. Zie PcAP-gegevens van Access-waarschuwingen voor meer informatie. |
OT-netwerksensor | Afhankelijk van de opslagcapaciteit van de sensor die is toegewezen voor PCAP-bestanden, die wordt bepaald door het hardwareprofiel: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Als een sensor de maximale opslagcapaciteit overschrijdt, wordt het oudste PCAP-bestand verwijderd om ruimte te bieden aan het nieuwe bestand. Zie PcAP-gegevens en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie. |
On-premises beheerconsole | PCAP-bestanden worden niet opgeslagen in de on-premises beheerconsole en zijn alleen toegankelijk vanuit de on-premises beheerconsole via een directe koppeling naar de OT-sensor. |
Het gebruik van beschikbare PCAP-opslagruimte is afhankelijk van factoren zoals het aantal waarschuwingen, het type waarschuwing en de netwerkbandbreedte, die allemaal van invloed zijn op de grootte van het PCAP-bestand.
Tip
Als u wilt voorkomen dat u afhankelijk bent van de opslagcapaciteit van de sensor, gebruikt u externe opslag om een back-up te maken van uw PCAP-gegevens.
Bewaarbeleid voor beveiligingsaanbeveling
Defender for IoT-beveiligingsaanbeveling wordt alleen opgeslagen in Azure Portal, gedurende 90 dagen vanaf het moment waarop de aanbeveling voor het eerst wordt gedetecteerd.
Zie Beveiligingspostuur verbeteren met aanbevelingen voor beveiliging voor meer informatie.
Retentie van OT-gebeurtenistijdlijn
Ot-gebeurtenistijdlijngegevens worden alleen opgeslagen op OT-netwerksensoren en de opslagcapaciteit verschilt, afhankelijk van het hardwareprofiel van de sensor.
De retentie van tijdlijngegevens voor gebeurtenissen wordt niet beperkt door tijd. Uitgaande van een frequentie van 500 gebeurtenissen per dag, kunnen alle hardwareprofielen de gebeurtenissen echter ten minste 90 dagenbewaren.
Als een sensor de maximale opslaggrootte overschrijdt, wordt het oudste gegevensbestand voor de gebeurtenistijdlijn verwijderd om ruimte te bieden aan het nieuwe bestand.
De volgende tabel bevat het maximum aantal gebeurtenissen dat voor elk hardwareprofiel kan worden opgeslagen:
Hardwareprofiel | Aantal gebeurtenissen |
---|---|
C5600 | 10 miljoen gebeurtenissen |
E1800 | 10 miljoen gebeurtenissen |
E1000 | 6M-gebeurtenissen |
E500 | 6M-gebeurtenissen |
L500 | 3M-gebeurtenissen |
L100 | 500-K-gebeurtenissen |
Zie Sensoractiviteit bijhouden en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie.
Retentie van OT-logboekbestanden
Service- en verwerkingslogboekbestanden worden 30 dagen na de aanmaakdatum opgeslagen in Azure Portal.
Andere OT-bewakingslogboekbestanden worden alleen opgeslagen op de OT-netwerksensor en de on-premises beheerconsole.
Zie voor meer informatie:
On-premises back-upbestandscapaciteit
Zowel de OT-netwerksensor als de on-premises beheerconsole hebben geautomatiseerde back-ups die dagelijks worden uitgevoerd.
Op zowel de OT-sensor als de on-premises beheerconsole worden oudere back-upbestanden overschreven wanneer de geconfigureerde opslagcapaciteit het maximum heeft bereikt.
Zie voor meer informatie:
- Back-up- en herstelbestanden instellen op een OT-sensor
- Back-upinstellingen voor OT-sensor configureren in een on-premises beheerconsole
- Back-upinstellingen voor OT-sensor configureren voor een on-premises beheerconsole
Back-ups op de OT-netwerksensor
De retentie van back-upbestanden is afhankelijk van de architectuur van de sensor, omdat voor elk hardwareprofiel een vaste hoeveelheid schijfruimte is toegewezen voor de back-upgeschiedenis:
Hardwareprofiel | Toegewezen hardeschijfruimte |
---|---|
L100 | Back-ups worden niet ondersteund |
L500 | 20 GB |
E1000 | 60 GB |
E1800 | 100 GB |
C5600 | 100 GB |
Als op het apparaat geen schijfruimte is toegewezen, wordt alleen de laatste back-up opgeslagen in de on-premises beheerconsole.
Back-ups op de on-premises beheerconsole
Toegewezen hardeschijfruimte voor back-upbestanden van de on-premises beheerconsole is beperkt tot 10 GB en tot slechts 20 back-ups.
Als u een on-premises beheerconsole gebruikt, heeft elke verbonden OT-sensor ook een eigen, extra back-upmap op de on-premises beheerconsole:
- Een back-upbestand van één sensor is beperkt tot maximaal 40 GB. Een bestand dat die grootte overschrijdt, wordt niet naar de on-premises beheerconsole verzonden.
- De totale vasteschijfruimte die is toegewezen aan sensorback-up van alle sensoren in de on-premises beheerconsole is 100 GB.
Volgende stappen
Zie voor meer informatie: