Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel (SIEM) ve Microsoft Defender XDR'ye topladığınız veriler tablolarda depolanır. Microsoft Defender portalı, saklama süresini ve verilerinizle ilişkili mağaza maliyetlerini yönetmenize olanak tanır. Saklama sürelerini ve maliyetleri şunları yaptığınızda yönetebilirsiniz:
- Microsoft Sentinel veya Microsoft Defender XDR'ye veri göndermek için veri bağlayıcılarını yapılandırın.
- Mevcut tablolarınızı ve verilerinizi yönetin.
Bu makalede, Microsoft Sentinel ve Microsoft Defender XDR'de güvenlik işlemlerini iyileştirmek ve maliyetleri azaltmak için Microsoft Defender portalında tablo saklama ve katman seçeneklerinin nasıl yönetileceği açıklanır.
Defender portalında hangi tabloları yönetebilirsiniz?
Bu bölümde, Microsoft Defender portalında yönetebileceğiniz tablo türleri açıklanmaktadır.
| Tablo türü | Açıklama | Örnekler | Microsoft Sentinel çalışma alanında mı? |
|---|---|---|---|
| Microsoft Sentinel | Aşağıdakiler dahil olmak üzere yerleşik tablolar, şunları içerir: - AzureDiagnostics ve SigninLogs gibi Azure tabloları. - Microsoft Sentinel tabloları. - Microsoft Defender XDR'nin Microsoft Sentinel ile tümleştirilmesi, analiz saklama süresini 30 günden fazla artırdığınızda Microsoft Sentinel çalışma alanınızda oluşturulur. Şu anda desteklenmeyen Defender XDR tabloları için XDR tablo türüne bakın. |
- Azure tabloları: AzureDiagnostics, SigninLogs- Microsoft Sentinel tabloları: AWSCloudTrail, SecurityAlert- XDR tabloları: DeviceEvents,AlertInfo |
Evet |
| Özel | ** Manuel olarak veya Microsoft Sentinel çalışma alanınızdaki işler aracılığıyla oluşturduğunuz tablolar, özet kuralı ve arama işi sonuçları tablolarını ve özel veri kaynağı tablolarını içerir. |
_CL veya _SRCH sonekleri olan tablolar. |
Evet |
| XDR | Varsayılan olarak 30 günlük analiz saklama süresine sahip olan XDR varsayılan katmanındaki tablolar. Bu tabloları görüntüleyebilirsiniz, ancak Defender portalından yönetemezsiniz. | IdentityInfo |
Hayı |
Uyarı
Microsoft Sentinel çalışma alanınızdaki Temel günlük tablolarını Defender portalından görüntüleyebilirsiniz, ancak şu anda bunları yalnızca Log Analytics çalışma alanınızdan yönetebilirsiniz. Bu tabloları Defender portalı üzerinden yönetmek için, Microsoft Sentinel çalışma alanınızdaki temel olan tablo planını analitik olana değiştirin.
Veri katmanları ve bekletme nasıl çalışır?
Microsoft Sentinel'de verileri iki katmandan birinde tutabilirsiniz:
Analiz katmanı: Bu katman, verileri uyarı, tehdit avcılığı, çalışma kitapları ve tüm Microsoft Sentinel özellikleri için kullanılabilir hale getirir. Verileri iki durumda tutar:
- Analiz saklama: Bu "sık erişimli" durumda veriler, yüksek performanslı sorgular ve analiz kuralları dahil olmak üzere gerçek zamanlı analiz ve tehdit avcılığı için tam olarak kullanılabilir. Varsayılan olarak, Microsoft Sentinel ve Microsoft Defender XDR bu katmandaki verileri 30 gün boyunca tutar. Eşit dağıtılmış aylık uzun süreli saklama ücretiyle tüm tabloların saklama süresini iki yıla kadar uzatabilirsiniz. Microsoft Sentinel çözüm tablolarının saklama süresini ücretsiz olarak 90 güne uzatabilirsiniz.
- Toplam saklama: Varsayılan olarak analiz katmanındaki tüm veriler aynı saklama süresi boyunca veri gölüne yansıtılır. Verilerinizin gölde tutulmasını analiz saklamanın ötesine geçerek düşük maliyetle toplam 12 yıla kadar uzatabilirsiniz.
Data lake katmanı: Bu düşük maliyetli "soğuk" katmanda Microsoft Sentinel verilerinizi yalnızca gölde tutar. Data Lake katmanındaki veriler gerçek zamanlı analiz özellikleri ve tehdit avcılığı için kullanılamaz. Ancak, göldeki verilere ihtiyaç duyduğunuzda KQL işleri aracılığıyla erişebilir, zamanlanmış KQL veya Spark işleri çalıştırarak zaman içindeki eğilimleri analiz edebilir ve özet kurallarını kullanarak düzenli aralıklarla gelen verilerden içgörüleri toplayabilirsiniz.
XDR verileri: Varsayılan olarak, Microsoft Defender XDR tehdit avcılığı verileri analiz katmanında 30 gün boyunca her zaman kullanılabilir. Müşteriler bu verilerin analiz katmanında tutulmasını ek ücret ödemeden XDR lisansına dahil edilen 90 güne kadar uzatabilir. Ayrıca yalnızca data lake katmanına da veri alabilirsiniz, ancak veriler bu durumda 30 gün boyunca analiz katmanında her zaman kullanılabilir.
Bu iki bekletme türü arasındaki farklar hakkında daha fazla bilgi için bkz. Analiz ve veri gölü katmanlarını karşılaştırma.
Bu diyagramda analiz, veri gölü ve XDR varsayılan katmanlarının bekletme bileşenleri ve her katman için hangi tablo türlerinin geçerli olduğu gösterilir:
Microsoft Sentinel veri gölü hakkında daha fazla bilgi için bkz. Microsoft Sentinel data lake nedir?
Analiz ve veri gölü katmanlarını karşılaştırma
Bu tablo, iki analiz ve veri gölü katmanını ve bunların temel özelliklerini karşılaştırır:
| Karşılaştırma | Analiz katmanı | Data lake katmanı |
|---|---|---|
| Temel özellikler | Günlükler için yüksek performanslı sorgulama ve dizin oluşturma (sık erişimli veya etkileşimli saklama olarak da bilinir). | Büyük veri hacimlerinde (soğuk depolama olarak da bilinir) uygun maliyetli uzun süreli saklama. |
| En iyi kullanım alanı: | Gerçek zamanlı analiz kuralları, uyarılar, avcılık, çalışma kitapları ve tüm Microsoft Sentinel özellikleri. | - Uyumluluk ve mevzuat kaydı. - Geçmiş eğilim analizi ve adli tıp. - Gerçek zamanlı uyarılar için gerekli olmayan düşük dokunma verileri. |
| Alım maliyeti | Standart | Minimal |
| Sorgu fiyatı dahil | ✅ | ❌ |
| İyileştirilmiş sorgu performansı | ✅ |
❌ Daha yavaş çalışan sorgular. Denetim yapmak için uygundur. Gerçek zamanlı analiz için iyileştirilmemiş. |
| Sorgu özellikleri | Microsoft Defender ve Azure portallarında ve API'leri kullanarak tam sorgu özellikleri. |
- Birleşimler ve birleşimler de dahil olmak üzere tam sorgu özellikleri. - Zamanlanmış KQL veya Spark işlerini çalıştırın. - Not Defterlerini kullanın. |
| Gerçek zamanlı analiz özelliklerinin tam kümesi | ✅ | ❌ Analiz kuralları, tehdit avcılığı sorguları, ayrıştırıcılar, izleme listeleri, çalışma kitapları ve playbook'lar gibi bazı özelliklerle ilgili sınırlamalar. |
| arama işleri | ✅ | ✅ |
| Özet kuralları | ✅ | ✅ Tek bir tablodaki tam KQL, arama kullanarak analiz tablosundaki verilerle genişletebilirsiniz |
| Geri yükleme | ✅ | ❌ KQL ve Not Defteri işleri, verileri analiz katmanına yükseltebilir. |
| Veri dışarı aktarma | ✅ | ❌ |
| Bekletme süresi | Microsoft Sentinel için 90 gün, Microsoft Defender XDR için 30 gün. Eşit dağıtılmış aylık uzun süreli saklama ücretiyle iki yıla kadar uzatılabilir. |
Varsayılan olarak analitik saklama ile aynıdır. 12 yıla kadar uzatılabilir. |
Tablo ayarlarını değiştirdiğinizde ne olur?
İstediğiniz zaman tablonun katman ve bekletme ayarlarını değiştirebilirsiniz.
Bir tablonun katmanını analizden data lake'e değiştirdiğinizde tüm gerçek zamanlı analiz ve avcılık sorguları çalışmayı durdurur.
Bir tablonun toplam saklama süresini kısalttığınızda, Microsoft verileri kaldırmadan önce 30 gün bekler, böylece yapılandırmada hata yaparsanız değişikliği geri alabilir ve veri kaybını önleyebilirsiniz.
Toplam saklama süresini artırdığınızda, yeni saklama süresi tabloya zaten alınmış olan ve henüz kaldırılmayan tüm veriler için geçerlidir.
Mevcut verilerle bir tablonun analiz saklama ayarlarını değiştirdiğinizde, değişiklik hemen geçerli olur.
Örnek:
- Analiz katmanında 180 günlük analiz saklama süresine sahip bir tablonuz var. Varsayılan olarak, Toplam saklama da 180 gün olarak ayarlanır.
- 180 günlük Toplam saklama süresini değiştirmeden analiz saklama süresini 90 gün olarak değiştirirsiniz.
- Microsoft Sentinel, son 90 günlük verileri analiz saklamadan otomatik olarak kaldırır, ancak 90-180 günlük verileri veri gölünde depolamaya devam eder.
Microsoft Sentinel'de XDR verilerini yönetme
Varsayılan olarak, Microsoft Defender XDR tehdit avcılığı verilerini 30 gün boyunca XDR varsayılan katmanında tutar. Bu veriler varsayılan olarak analiz veya data lake katmanlarına alınamaz. Desteklenen XDR tablolarının bekletme süresini 30 günden fazla uzatırsanız, tablolar analiz katmanındaki Microsoft Sentinel çalışma alanınızda oluşturulur ve data lake katmanına yansıtılır.
Azure portalında Microsoft Sentinel XDR bağlayıcısını etkinleştirirseniz kurulum sırasında seçtiğiniz tablolar otomatik olarak analiz katmanına alınır ve data lake katmanına yansıtılır. Varsayılan saklama 30 gündür ve 12 yıla kadar uzatabilirsiniz. Tabloların listesi için bkz. Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi. Bağlayıcı dağıtımı sırasında seçmediğiniz desteklenen XDR tablolarını analiz katmanına alabilir ve bekletmeyi 30 günden uzun bir süreye ayarlayarak bunları data lake katmanına yansıtabilirsiniz.
Microsoft Sentinel XDR bağlayıcısını etkinleştirmezseniz, XDR tabloları otomatik olarak alınmaz, ancak yine de Defender portalında 30 günden uzun süre analiz veya veri gölü katmanı saklama ayarı yaparak bunları alabilirsiniz.
Bekletme ayarlarını yapılandırırken Data lake katmanı seçeneğini belirleyerek desteklenen XDR tablolarını yalnızca data lake katmanına almayı seçebilirsiniz. Daha fazla bilgi için bkz . Veri saklama ve katmanlama yapılandırma.
Analiz katmanındaki saklama süresini ve toplam saklama süresini varsayılan 30 güne sıfırlayarak, analiz katmanına veri alımını durdurun. Bu eylem, Azure portalında bağlayıcıyı devre dışı bırakır.
Tablolarınızı ve verilerinizi yönetme hakkında daha fazla bilgi için bkz. Mevcut tablolarınızı ve verilerinizi yönetme.
XDR veri saklama ve maliyetler
Aşağıdaki tablolarda, Microsoft Sentinel'deki farklı katmanlar için ücretsiz saklama süreleri ve maliyet etkileri özetlemektedir:
| Katman | Retention | Notes |
|---|---|---|
| Gelişmiş Avlanma (Varsayılan) | 30 gün | Varsayılan, XDR lisansına dahildir |
| Analiz katmanı | 90 gün | Sentinel özellikli çalışma alanları için ücretsiz depolama alanı. Veri yükleme ücretleri uygulanır. |
| Veri gölü | Yapılandırılabilir. Varsayılan olarak analiz katmanıyla aynıdır. | Analiz katmanı saklama süresi ile toplam saklama süresi aynı olduğunda ücretsiz depolama alanı. Verileri analiz katmanı saklama süresinin ötesinde veya yalnızca data lake katmanında tutmak ek depolama maliyetlerine neden olur. |
Faturalama ve maliyetler hakkında daha fazla bilgi için bkz. Microsoft Sentinel için tam faturalama modelini anlama
Aşağıdaki örneklerde XDR verileri, analiz veya veri gölü katmanlarındaki saklama ayarlarından bağımsız olarak en az 30 gün boyunca gelişmiş avcılık aracılığıyla kullanılabilir.
| Analiz katmanı saklama | Toplam saklama | Veri Analizi katmanı alım maliyetleri | Analiz katmanı depolama maliyetleri | Veri gölü katmanı maliyetleri |
|---|---|---|---|---|
| Varsayılan 30 gün | Varsayılan 30 gün | Ek maliyet yok | Mevcut Değil | Mevcut Değil |
| 90 gün | 90 gün | Analitik katman veri aktarımı için maliyetler geçerlidir. | Ek ücret alınmaz. 90 gün ücretsiz dahildir. | Ek ücret alınmaz. Toplam saklama, analiz katmanı saklama ile eşleşir. |
| 90 gün | 180 gün | Analitik katman veri aktarımı için maliyetler geçerlidir. | Ek maliyet yoktur; 90 gün ücretsiz dahildir. | Maliyetler, 90 günlük ek veri gölü saklama süresi (180 - 90 gün) için geçerlidir. |
| 180 gün | 1 yıl | Analitik katman veri aktarımı için maliyetler geçerlidir. | Maliyetler, 90 günlük ek analiz katmanı saklama süresi için geçerlidir. | Maliyetler 185 günlük ek veri gölü saklama süresi (365 - 180 gün) için geçerlidir. |
| 0 gün (yalnızca veri gölü) | 5 yıl | Mevcut Değil | Mevcut Değil | Maliyetler veri alımı ve 5 yıllık veri gölü saklama için geçerlidir. |
Sonraki Adımlar
Şu konularda daha fazla bilgi edinin: