Gegevensretentie in Microsoft Defender for IoT

Microsoft Defender voor IoT-sensoren leren een basislijn van uw netwerkverkeer tijdens de eerste leerperiode na de implementatie. Deze geleerde basislijn wordt voor onbepaalde tijd opgeslagen op uw sensoren.

Defender for IoT slaat ook andere gegevens op in Azure Portal, op OT-netwerksensoren en on-premises beheerconsoles.

Elke opslaglocatie biedt een bepaalde opslagcapaciteit en retentietijden. In dit artikel wordt beschreven hoeveel en hoe lang elk type gegevens op elke locatie wordt opgeslagen voordat deze worden verwijderd of overschreven.

Bewaarperioden voor apparaatgegevens

In de volgende tabel ziet u hoe lang apparaatgegevens worden opgeslagen op elke Defender for IoT-locatie.

Opslagtype DETAILS
Azure-portal 90 dagen vanaf de datum van de laatste activiteitswaarde .

Zie Uw apparaatinventaris beheren vanuit Azure Portal voor meer informatie.
OT-netwerksensor 90 dagen vanaf de datum van de laatste activiteitswaarde .

Zie Uw OT-apparaatinventaris beheren vanuit een sensorconsole voor meer informatie.
On-premises beheerconsole 90 dagen vanaf de datum van de laatste activiteitswaarde .

Zie Uw OT-apparaatinventaris beheren vanuit een on-premises beheerconsole voor meer informatie.

Retentie van waarschuwingsgegevens

In de volgende tabel ziet u hoe lang waarschuwingsgegevens worden opgeslagen op elke Defender for IoT-locatie. Waarschuwingsgegevens worden opgeslagen zoals vermeld, ongeacht de status van de waarschuwing of of deze zijn geleerd of gedempt.

Opslagtype DETAILS
Azure-portal 90 dagen vanaf de datum in de eerste detectiewaarde .

Zie Waarschuwingen van Azure Portal weergeven en beheren voor meer informatie.
OT-netwerksensor 90 dagen vanaf de datum in de eerste detectiewaarde .

Zie Waarschuwingen voor uw sensor weergeven voor meer informatie.
On-premises beheerconsole 90 dagen vanaf de datum in de eerste detectiewaarde .

Zie Werken met waarschuwingen op de on-premises beheerconsole voor meer informatie.

OT-waarschuwing pcAP-gegevensretentie

In de volgende tabel ziet u hoe lang PCAP-gegevens worden opgeslagen op elke Defender for IoT-locatie.

Opslagtype DETAILS
Azure-portal PCAP-bestanden zijn beschikbaar om te downloaden vanuit Azure Portal zolang de OT-netwerksensor ze opslaat.

Zodra de bestanden zijn gedownload, worden de bestanden gedurende 48 uur in de cache opgeslagen in Azure Portal.

Zie PcAP-gegevens van Access-waarschuwingen voor meer informatie.
OT-netwerksensor Afhankelijk van de opslagcapaciteit van de sensor die is toegewezen voor PCAP-bestanden, die wordt bepaald door het hardwareprofiel:

- C5600: 130 GB
- E1800: 130 GB
- E1000 : 78 GB
- E500: 78 GB
- L500: 7 GB
- L100: 2,5 GB

Als een sensor de maximale opslagcapaciteit overschrijdt, wordt het oudste PCAP-bestand verwijderd om ruimte te bieden aan het nieuwe bestand.

Zie PcAP-gegevens en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie.
On-premises beheerconsole PCAP-bestanden worden niet opgeslagen in de on-premises beheerconsole en zijn alleen toegankelijk vanuit de on-premises beheerconsole via een directe koppeling naar de OT-sensor.

Het gebruik van beschikbare PCAP-opslagruimte is afhankelijk van factoren zoals het aantal waarschuwingen, het type waarschuwing en de netwerkbandbreedte, die allemaal van invloed zijn op de grootte van het PCAP-bestand.

Tip

Als u wilt voorkomen dat u afhankelijk bent van de opslagcapaciteit van de sensor, gebruikt u externe opslag om een back-up te maken van uw PCAP-gegevens.

Bewaarbeleid voor beveiligingsaanbeveling

Defender for IoT-beveiligingsaanbeveling wordt alleen opgeslagen in Azure Portal, gedurende 90 dagen vanaf het moment waarop de aanbeveling voor het eerst wordt gedetecteerd.

Zie Beveiligingspostuur verbeteren met aanbevelingen voor beveiliging voor meer informatie.

Retentie van OT-gebeurtenistijdlijn

Ot-gebeurtenistijdlijngegevens worden alleen opgeslagen op OT-netwerksensoren en de opslagcapaciteit verschilt, afhankelijk van het hardwareprofiel van de sensor.

De retentie van tijdlijngegevens voor gebeurtenissen wordt niet beperkt door tijd. Uitgaande van een frequentie van 500 gebeurtenissen per dag, kunnen alle hardwareprofielen de gebeurtenissen echter ten minste 90 dagenbewaren.

Als een sensor de maximale opslaggrootte overschrijdt, wordt het oudste gegevensbestand voor de gebeurtenistijdlijn verwijderd om ruimte te bieden aan het nieuwe bestand.

De volgende tabel bevat het maximum aantal gebeurtenissen dat voor elk hardwareprofiel kan worden opgeslagen:

Hardwareprofiel Aantal gebeurtenissen
C5600 10 miljoen gebeurtenissen
E1800 10 miljoen gebeurtenissen
E1000 6M-gebeurtenissen
E500 6M-gebeurtenissen
L500 3M-gebeurtenissen
L100 500-K-gebeurtenissen

Zie Sensoractiviteit bijhouden en vooraf geconfigureerde fysieke apparaten voor OT-bewaking voor meer informatie.

Retentie van OT-logboekbestanden

Service- en verwerkingslogboekbestanden worden 30 dagen na de aanmaakdatum opgeslagen in Azure Portal.

Andere OT-bewakingslogboekbestanden worden alleen opgeslagen op de OT-netwerksensor en de on-premises beheerconsole.

Zie voor meer informatie:

On-premises back-upbestandscapaciteit

Zowel de OT-netwerksensor als de on-premises beheerconsole hebben geautomatiseerde back-ups die dagelijks worden uitgevoerd.

Op zowel de OT-sensor als de on-premises beheerconsole worden oudere back-upbestanden overschreven wanneer de geconfigureerde opslagcapaciteit het maximum heeft bereikt.

Zie voor meer informatie:

Back-ups op de OT-netwerksensor

De retentie van back-upbestanden is afhankelijk van de architectuur van de sensor, omdat voor elk hardwareprofiel een vaste hoeveelheid schijfruimte is toegewezen voor de back-upgeschiedenis:

Hardwareprofiel Toegewezen hardeschijfruimte
L100 Back-ups worden niet ondersteund
L500 20 GB
E1000 60 GB
E1800 100 GB
C5600 100 GB

Als op het apparaat geen schijfruimte is toegewezen, wordt alleen de laatste back-up opgeslagen in de on-premises beheerconsole.

Back-ups op de on-premises beheerconsole

Toegewezen hardeschijfruimte voor back-upbestanden van de on-premises beheerconsole is beperkt tot 10 GB en tot slechts 20 back-ups.

Als u een on-premises beheerconsole gebruikt, heeft elke verbonden OT-sensor ook een eigen, extra back-upmap op de on-premises beheerconsole:

  • Een back-upbestand van één sensor is beperkt tot maximaal 40 GB. Een bestand dat die grootte overschrijdt, wordt niet naar de on-premises beheerconsole verzonden.
  • De totale vasteschijfruimte die is toegewezen aan sensorback-up van alle sensoren in de on-premises beheerconsole is 100 GB.

Volgende stappen

Zie voor meer informatie: