Przechowywanie i udostępnianie danych w usłudze Microsoft Defender dla IoT
Czujniki usługi Microsoft Defender dla IoT poznają punkt odniesienia ruchu sieciowego podczas początkowego okresu uczenia się po wdrożeniu. Ten poznany punkt odniesienia jest przechowywany w nieskończoność na czujnikach.
Usługa Defender for IoT przechowuje również inne dane w witrynie Azure Portal, w czujnikach sieci OT i lokalnych konsolach zarządzania.
Każda lokalizacja magazynu zapewnia określoną pojemność magazynu i czas przechowywania. W tym artykule opisano, ile i jak długo każdy typ danych jest przechowywany w każdej lokalizacji przed usunięciem lub zastąpieniem.
Okresy przechowywania danych urządzenia
W poniższej tabeli wymieniono, jak długo dane urządzenia są przechowywane w każdej lokalizacji usługi Defender dla IoT.
| Typ magazynu | Szczegóły |
|---|---|
| Witryna Azure Portal | 90 dni od daty wartości Ostatnie działanie . Aby uzyskać więcej informacji, zobacz Zarządzanie spisem urządzeń w witrynie Azure Portal. |
| Czujnik sieci OT | 90 dni od daty wartości Ostatnie działanie . Aby uzyskać więcej informacji, zobacz Zarządzanie spisem urządzeń OT z poziomu konsoli czujnika. |
| Lokalna konsola zarządzania | 90 dni od daty wartości Ostatnie działanie . Aby uzyskać więcej informacji, zobacz Zarządzanie spisem urządzeń OT z lokalnej konsoli zarządzania. |
Przechowywanie danych alertów
W poniższej tabeli wymieniono, jak długo dane alertu są przechowywane w każdej lokalizacji usługi Defender dla IoT. Dane alertu są przechowywane na liście, niezależnie od stanu alertu, czy też zostały poznane lub wyciszone.
| Typ magazynu | Szczegóły |
|---|---|
| Witryna Azure Portal | 90 dni od daty w wartości Pierwszego wykrywania . Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów i zarządzanie nimi w witrynie Azure Portal. |
| Czujnik sieci OT | 90 dni od daty w wartości Pierwszego wykrywania . Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów w czujniku. |
| Lokalna konsola zarządzania | 90 dni od daty w wartości Pierwszego wykrywania . Aby uzyskać więcej informacji, zobacz Praca z alertami w lokalnej konsoli zarządzania. |
Przechowywanie danych protokołu PCAP alertu OT
W poniższej tabeli wymieniono, jak długo dane PCAP są przechowywane w każdej lokalizacji usługi Defender dla IoT.
| Typ magazynu | Szczegóły |
|---|---|
| Witryna Azure Portal | Pliki PCAP są dostępne do pobrania z witryny Azure Portal tak długo, jak przechowuje je czujnik sieciowy OT. Po pobraniu pliki są buforowane w witrynie Azure Portal przez 48 godzin. Aby uzyskać więcej informacji, zobacz Access alert PCAP data (Uzyskiwanie dostępu do danych PCAP alertu). |
| Czujnik sieci OT | Zależne od pojemności magazynu czujnika przydzielonej dla plików PCAP, które są określane przez jego profil sprzętu: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Jeśli czujnik przekroczy maksymalną pojemność magazynu, najstarszy plik PCAP zostanie usunięty, aby pomieścić nowy. Aby uzyskać więcej informacji, zobacz Access alert PCAP data and Pre-configured physical devices for OT monitoring (Uzyskiwanie dostępu do danych PCAP i wstępnie skonfigurowanych urządzeń fizycznych na potrzeby monitorowania ot). |
| Lokalna konsola zarządzania | Pliki PCAP nie są przechowywane w lokalnej konsoli zarządzania i są dostępne tylko z lokalnej konsoli zarządzania za pośrednictwem bezpośredniego linku do czujnika OT. |
Użycie dostępnego miejsca do magazynowania PCAP zależy od czynników, takich jak liczba alertów, typ alertu i przepustowość sieci, z których wszystkie wpływają na rozmiar pliku PCAP.
Napiwek
Aby uniknąć zależności od pojemności magazynu czujnika, użyj magazynu zewnętrznego, aby utworzyć kopię zapasową danych PCAP.
Przechowywanie zaleceń dotyczących zabezpieczeń
Rekomendacje dotyczące zabezpieczeń usługi Defender for IoT są przechowywane tylko w witrynie Azure Portal przez 90 dni od momentu pierwszego wykrycia zalecenia.
Aby uzyskać więcej informacji, zobacz Ulepszanie stanu zabezpieczeń za pomocą zaleceń dotyczących zabezpieczeń.
Przechowywanie osi czasu zdarzeń OT
Dane osi czasu zdarzenia OT są przechowywane tylko w czujnikach sieci OT, a pojemność magazynu różni się w zależności od profilu sprzętowego czujnika.
Przechowywanie danych osi czasu zdarzenia nie jest ograniczone przez czas. Jednak przy założeniu, że częstotliwość 500 zdarzeń dziennie, wszystkie profile sprzętu będą mogły zachować zdarzenia przez co najmniej 90 dni.
Jeśli czujnik przekroczy maksymalny rozmiar magazynu, najstarszy plik danych osi czasu zdarzenia zostanie usunięty, aby uwzględnić nowy.
W poniższej tabeli wymieniono maksymalną liczbę zdarzeń, które mogą być przechowywane dla każdego profilu sprzętu:
| Profil sprzętu | Liczba zdarzeń |
|---|---|
| C5600 | Zdarzenia 10 mln |
| E1800 | Zdarzenia 10 mln |
| E1000 | Zdarzenia 6 mln |
| E500 | Zdarzenia 6 mln |
| L500 | Zdarzenia 3M |
| L100 | Zdarzenia 500-K |
Aby uzyskać więcej informacji, zobacz Śledzenie aktywności czujników i wstępnie skonfigurowanych urządzeń fizycznych na potrzeby monitorowania OT.
Przechowywanie plików dziennika OT
Pliki dziennika usługi i przetwarzania są przechowywane w witrynie Azure Portal przez 30 dni od daty utworzenia.
Inne pliki dziennika monitorowania OT są przechowywane tylko w czujniku sieci OT i lokalnej konsoli zarządzania.
Aby uzyskać więcej informacji, zobacz:
Udostępnianie danych
Usługa Defender dla IoT udostępnia dane, w tym dane klientów, wśród następujących produktów firmy Microsoft licencjonowanych przez klienta:
- Microsoft Security Exposure Management
Pojemność lokalnego pliku kopii zapasowej
Zarówno czujnik sieci OT, jak i lokalna konsola zarządzania mają automatyczne kopie zapasowe uruchomione codziennie.
Zarówno w czujniku OT, jak i lokalnej konsoli zarządzania starsze pliki kopii zapasowej są zastępowane, gdy skonfigurowana pojemność magazynu osiągnęła maksymalną wartość.
Aby uzyskać więcej informacji, zobacz:
- Konfigurowanie kopii zapasowych i przywracania plików na czujniku OT
- Konfigurowanie ustawień kopii zapasowej czujnika OT w lokalnej konsoli zarządzania
- Konfigurowanie ustawień kopii zapasowej czujnika OT dla lokalnej konsoli zarządzania
Kopie zapasowe w czujniku sieci OT
Przechowywanie plików kopii zapasowych zależy od architektury czujnika, ponieważ każdy profil sprzętu ma ustawioną ilość miejsca na dysku twardym przydzielonym do historii kopii zapasowych:
| Profil sprzętu | Przydzielone miejsce na dysku twardym |
|---|---|
| L100 | Kopie zapasowe nie są obsługiwane |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Jeśli urządzenie nie ma przydzielonego miejsca na dysku twardym, tylko ostatnia kopia zapasowa zostanie zapisana w lokalnej konsoli zarządzania.
Kopie zapasowe w lokalnej konsoli zarządzania
Przydzielone miejsce na dysku twardym dla lokalnych plików kopii zapasowych konsoli zarządzania jest ograniczone do 10 GB i tylko do 20 kopii zapasowych.
Jeśli używasz lokalnej konsoli zarządzania, każdy połączony czujnik OT ma również własny, dodatkowy katalog kopii zapasowych w lokalnej konsoli zarządzania:
- Pojedynczy plik kopii zapasowej czujnika jest ograniczony do maksymalnie 40 GB. Plik przekraczający ten rozmiar nie zostanie wysłany do lokalnej konsoli zarządzania.
- Łączna ilość miejsca na dysku twardym przydzielona do kopii zapasowej czujników ze wszystkich czujników w lokalnej konsoli zarządzania wynosi 100 GB.
Następne kroki
Aby uzyskać więcej informacji, zobacz: