Datakvarhållning, sekretess och delning i Microsoft Defender för IoT
Microsoft Defender för IoT lagrar data i Microsoft Azure-portalen, i OT-nätverkssensorer och i lokala hanteringskonsoler.
Varje lagringstyp har olika lagringskapacitetsalternativ och kvarhållningstider. Den här artikeln beskriver datakvarhållningsprincipen för mängden data och hur lång tid data lagras i varje lagringstyp innan de tas bort eller skrivs över.
Vad samlar vi in?
Defender for IoT samlar in information från dina konfigurerade enheter och lagrar den i en tjänstspecifik, kundspecifik och segregerad klientorganisation. Lagrade data är för administrations-, spårnings- och rapporteringsändamål.
Information som samlas in omfattar nätverksanslutningsdata (IP-adresser och portar) och enhetsinformation (enhetsidentifierare, namn, operativsystemversioner, versioner av inbyggd programvara). Defender för IoT lagrar dessa data på ett säkert sätt i enlighet med Microsofts sekretesspraxis och Microsoft Trust Center-principer.
Med dessa data kan Defender för IoT:
- Identifiera proaktivt indikatorer för angrepp (IOA) i din organisation.
- Generera aviseringar om en möjlig attack identifieras.
- Ge säkerhetsteamet en vy över enheter och adresser som är relaterade till hotsignaler från nätverket, så att du kan undersöka och utforska möjliga nätverkssäkerhetshot.
Microsoft använder inte dina data för annonsering.
Dataplats
Defender for IoT använder Microsoft Azure-datacenter i EU och USA. Kunddata som samlas in av tjänsten kan lagras på någon av två geo-platser:
- Klientorganisationens geoplats som identifierades under etableringen.
- Geoplatsen som definieras av datalagringsreglerna för en onlinetjänst som används av Defender för IoT för att bearbeta sina data.
Datakvarhållning
Data från Defender för IoT behålls så länge en kund är aktiv eller i 90 dagar efter att kontraktet har avslutats. Under den här perioden visas data i dina andra tjänster på portalen.
Dina data sparas och är tillgängliga medan din licens är under en respitperiod eller i pausat läge. 90 dagar efter slutet av den här perioden raderas dina data från Microsofts system som gör det oåterkalleligt.
Kvarhållningsperioder för enhetsdata
I följande tabell visas hur länge enhetsdata lagras i varje Defender för IoT-lagringstyp.
| Lagringstyp | Details |
|---|---|
| Azure-portalen | 90 dagar från datumet för värdet Senaste aktivitet . Mer information finns i Hantera din enhetsinventering från Azure-portalen. |
| OT-nätverkssensor | 90 dagar från datumet för värdet Senaste aktivitet . Mer information finns i Hantera ditt OT-enhetsinventering från en sensorkonsol. |
| Lokal hanteringskonsol | 90 dagar från datumet för värdet Senaste aktivitet . Mer information finns i Hantera din OT-enhetsinventering från en lokal hanteringskonsol. |
Kvarhållning av aviseringsdata
I följande tabell visas hur länge aviseringsdata lagras i varje Defender för IoT-lagringstyp. Aviseringsdata lagras som listade, oavsett status för aviseringen eller om de har lärts in eller stängts av.
| Lagringstyp | Details |
|---|---|
| Azure-portalen | 90 dagar från datumet i värdet Första identifiering . Mer information finns i Visa och hantera aviseringar från Azure-portalen. |
| OT-nätverkssensor | 90 dagar från datumet i värdet Första identifiering . Mer information finns i Visa aviseringar på sensorn. |
| Lokal hanteringskonsol | 90 dagar från datumet i värdet Första identifiering . Mer information finns i Arbeta med aviseringar i den lokala hanteringskonsolen. |
OT-avisering PCAP-datakvarhållning
I följande tabell visas hur länge PCAP-data lagras i varje Defender för IoT-lagringstyp.
| Lagringstyp | Details |
|---|---|
| Azure-portalen | PCAP-filer är tillgängliga för nedladdning från Azure-portalen så länge ot-nätverkssensorn lagrar dem. När filerna har laddats ned cachelagras de på Azure-portalen i 48 timmar. Mer information finns i Åtkomst till PCAP-aviseringsdata. |
| OT-nätverkssensor | Beroende på sensorns lagringskapacitet som allokerats för PCAP-filer, vilket avgör dess maskinvaruprofil: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Om en sensor överskrider sin maximala lagringskapacitet tas den äldsta PCAP-filen bort för att rymma den nya. Mer information finns i Åtkomst till PCAP-aviseringsdata och förkonfigurerade fysiska installationer för OT-övervakning. |
| Lokal hanteringskonsol | PCAP-filer lagras inte i den lokala hanteringskonsolen och nås endast från den lokala hanteringskonsolen via en direktlänk till OT-sensorn. |
Användningen av tillgängligt PCAP-lagringsutrymme beror på faktorer som antalet aviseringar, typen av avisering och nätverksbandbredden, som alla påverkar storleken på PCAP-filen.
Dricks
Om du vill undvika att vara beroende av sensorns lagringskapacitet använder du extern lagring för att säkerhetskopiera dina PCAP-data.
Kvarhållning av säkerhetsrekommendationer
Säkerhetsrekommendationer för Defender för IoT lagras endast på Azure-portalen i 90 dagar från det att rekommendationen först identifieras.
Mer information finns i Förbättra säkerhetsstatusen med säkerhetsrekommendationer.
Kvarhållning av OT-händelsetidslinje
Tidslinjedata för OT-händelser lagras endast på OT-nätverkssensorer och lagringskapaciteten skiljer sig beroende på sensorns maskinvaruprofil.
Kvarhållningen av händelsetidsdata begränsas inte av tid. Men om vi antar en frekvens på 500 händelser per dag kan alla maskinvaruprofiler behålla händelserna i minst 90 dagar.
Om en sensor överskrider sin maximala lagringsstorlek tas den äldsta datafilen för händelsetidslinjen bort för att rymma den nya.
I följande tabell visas det maximala antalet händelser som kan lagras för varje maskinvaruprofil:
| Maskinvaruprofil | Antal händelser |
|---|---|
| C5600 | 10M-händelser |
| E1800 | 10M-händelser |
| E1000 | 6M-händelser |
| E500 | 6M-händelser |
| L500 | 3M-händelser |
| L100 | 500-K-händelser |
Mer information finns i Spåra sensoraktivitet och förkonfigurerade fysiska enheter för OT-övervakning.
Kvarhållning av OT-loggfil
Tjänst- och bearbetningsloggfiler lagras på Azure-portalen i 30 dagar från det att de skapades.
Andra OT-övervakningsloggfiler lagras endast på OT-nätverkssensorn och den lokala hanteringskonsolen.
Mer information finns i:
Kapacitet för säkerhetskopieringsfiler
Både OT-nätverkssensorn och den lokala hanteringskonsolen har automatiserade säkerhetskopieringar som körs dagligen och äldre säkerhetskopieringsfiler skrivs över när den konfigurerade lagringskapaciteten når sin gräns.
Mer information finns i:
- Konfigurera säkerhetskopierings- och återställningsfiler på en OT-sensor
- Konfigurera inställningar för ot-sensorsäkerhetskopiering i en lokal hanteringskonsol
Säkerhetskopior på OT-nätverkssensorn
Kvarhållningen av säkerhetskopierade filer beror på sensorns arkitektur, eftersom varje maskinvaruprofil har en angiven mängd hårddiskutrymme allokerat för säkerhetskopieringshistorik:
| Maskinvaruprofil | Allokerat hårddiskutrymme |
|---|---|
| L100 | Säkerhetskopieringar stöds inte |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Om enheten inte kan allokera tillräckligt med hårddiskutrymme sparas endast den sista säkerhetskopian i den lokala hanteringskonsolen.
Säkerhetskopior i den lokala hanteringskonsolen
Allokerat hårddiskutrymme för säkerhetskopior av den lokala hanteringskonsolen är begränsat till 10 GB och endast 20 säkerhetskopior.
Om du använder en lokal hanteringskonsol har varje ansluten OT-sensor också en egen extra säkerhetskopieringskatalog i den lokala hanteringskonsolen:
- En enskild sensorsäkerhetskopieringsfil är begränsad till högst 40 GB. En fil som överskrider den storleken skickas inte till den lokala hanteringskonsolen.
- Totalt hårddiskutrymme som allokerats till sensorsäkerhetskopiering från alla sensorer i den lokala hanteringskonsolen är 100 GB.
Datadelning för Microsoft Defender för IoT
Microsoft Defender för IoT delar data, inklusive kunddata, bland följande Microsoft-produkter, som också licensieras av kunden.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender for Cloud
- Microsoft Defender för slutpunkter
- Microsoft Security Exposure Management
Nästa steg
Mer information finns i:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för