Хранение и совместное использование данных в Microsoft Defender для Интернета вещей
Датчики Microsoft Defender для Интернета вещей изучают базовые показатели сетевого трафика в течение начального периода обучения после развертывания. Этот базовый план обучения хранится на неопределенный срок на датчиках.
Defender для Интернета вещей также сохраняет другие данные в портал Azure, на сетевых датчиках OT и локальных консоль управления.
Каждое расположение хранилища позволяет обеспечить определенную емкость хранилища и время хранения. В этой статье описывается, сколько и сколько времени каждый тип данных хранится в каждом расположении перед удалением или переопределением.
Сроки хранения данных устройства
В следующей таблице перечислены сроки хранения данных устройства в каждом расположении Defender для Интернета вещей.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | 90 дней с даты последнего значения действия . Дополнительные сведения см. в разделе "Управление инвентаризацией устройств" из портал Azure. |
| Сетевой датчик OT | 90 дней с даты последнего значения действия . Дополнительные сведения см. в статье Датчики обнаружения для данных инвентаризации. |
| Локальная консоль управления | 90 дней с даты последнего значения действия . Для получения дополнительной информации см. раздел Управление инвентаризацией устройств ОТ в локальной консоли управления. |
Хранение данных оповещений
В следующей таблице перечислены сроки хранения данных оповещений в каждом расположении Defender для Интернета вещей. Данные оповещений хранятся в списке, независимо от состояния оповещения или его выключения.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в статье Просмотр оповещений и управление ими на портале Azure. |
| Сетевой датчик OT | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в разделе Просмотр оповещений на датчике. |
| Локальная консоль управления | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в статье "Работа с оповещениями в локальной консоль управления". |
Хранение данных PCAP оповещений OT
В следующей таблице перечислены сроки хранения данных PCAP в каждом расположении Defender для Интернета вещей.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | PCAP-файлы доступны для скачивания из портал Azure до тех пор, пока сетевой датчик OT хранит их. После скачивания файлы кэшируются в портал Azure в течение 48 часов. Дополнительные сведения см. в разделе "Доступ к данным PCAP" оповещений Access. |
| Сетевой датчик OT | Зависит от емкости хранилища датчика, выделенной для PCAP-файлов, которая определяется его аппаратным профилем: - C5600: 130 ГБ - E1800: 130 ГБ - E1000 : 78 ГБ - E500: 78 ГБ - L500: 7 ГБ - L100: 2,5 ГБ Если датчик превышает максимальную емкость хранилища, старый PCAP-файл удаляется для размещения нового. Дополнительные сведения см. в разделе "Данные PCAP" оповещений Access и предварительно настроенные физические (модуль) для мониторинга OT. |
| Локальная консоль управления | PCAP-файлы не хранятся в локальной консоль управления и доступны только из локальной консоль управления через прямую связь с датчиком OT. |
Использование доступного пространства хранилища PCAP зависит от таких факторов, как количество оповещений, тип оповещения и пропускная способность сети, все из которых влияют на размер PCAP-файла.
Совет
Чтобы избежать зависимости от емкости хранилища датчика, используйте внешнее хранилище для резервного копирования данных PCAP.
Хранение рекомендаций по безопасности
Рекомендации по безопасности Defender для Интернета вещей хранятся только в портал Azure в течение 90 дней с момента обнаружения рекомендации.
Дополнительные сведения см. в статье "Повышение уровня безопасности" с помощью рекомендаций по безопасности.
Хранение событий OT временная шкала
События OT временная шкала данные хранятся только на сетевых датчиках OT, а емкость хранилища отличается в зависимости от профиля оборудования датчика.
Хранение событий временная шкала данных не ограничено по времени. Однако при условии частоты 500 событий в день все профили оборудования смогут хранить события по крайней мере на 90 дней.
Если датчик превышает максимальный размер хранилища, то самый старый файл событий временная шкала данных удаляется для размещения нового.
В следующей таблице перечислены максимальное количество событий, которые можно хранить для каждого профиля оборудования:
| Профиль оборудования | Количество событий |
|---|---|
| C5600 | События 10M |
| E1800 | События 10M |
| E1000 | События 6M |
| E500 | События 6M |
| L500 | События 3M |
| L100 | 500-K событий |
Дополнительные сведения см. в разделе "Отслеживание активности датчика" и предварительно настроенных физических (модуль) для мониторинга OT.
Хранение файлов журнала OT
Файлы службы и обработки журналов хранятся в портал Azure в течение 30 дней с момента их создания.
Другие файлы журнала мониторинга OT хранятся только на сетевом датчике OT и локальном консоль управления.
Дополнительные сведения см. в разделе:
Общий доступ к данным
Defender для Интернета вещей предоставляет общие данные, включая данные клиентов, среди следующих продуктов Майкрософт, лицензируемых клиентом:
- Управление воздействием безопасности Майкрософт
Емкость файла резервной копии локальной среды
Как сетевой датчик OT, так и локальный консоль управления имеют автоматические резервные копии, выполняемые ежедневно.
На датчике OT и локальном консоль управления старые файлы резервного копирования переопределяются, когда настроенная емкость хранилища достигла максимального значения.
Дополнительные сведения см. в разделе:
- Настройка файлов резервного копирования и восстановления на датчике OT
- Настройка параметров резервного копирования датчика OT в локальной консоль управления
- Настройка параметров резервного копирования датчика OT для локального консоль управления
Резервные копии на сетевом датчике OT
Хранение файлов резервного копирования зависит от архитектуры датчика, так как каждый профиль оборудования имеет определенное количество места на жестком диске, выделенное для журнала резервного копирования:
| Профиль оборудования | Выделенное место на жестком диске |
|---|---|
| L100 | Резервные копии не поддерживаются |
| L500 | 20 ГБ |
| E1000 | 60 ГБ |
| E1800 | 100 ГБ |
| C5600 | 100 ГБ |
Если на устройстве нет места на жестком диске, то только последняя резервная копия будет сохранена в локальной консоль управления.
Резервное копирование в локальной консоль управления
Выделенный жесткий диск для локальных консоль управления файлов резервного копирования ограничен 10 ГБ и только 20 резервных копий.
Если вы используете локальный консоль управления, каждый подключенный датчик OT также имеет собственный, дополнительный каталог резервного копирования в локальной консоль управления:
- Один файл резервного копирования датчика ограничен не более 40 ГБ. Файл, превышающий этот размер, не будет отправлен в локальную консоль управления.
- Общее место на жестком диске, выделенное для резервного копирования датчиков со всех датчиков в локальной консоль управления, составляет 100 ГБ.
Дальнейшие действия
Дополнительные сведения см. в разделе: