Microsoft Defender for Office 365的数据保留信息
默认情况下,跨不同功能的数据最多保留 30 天。 但是,对于某些功能,可以根据策略指定保留期。 有关每个功能的不同保留期,请参阅下表。
注意
Microsoft Defender for Office 365有两个不同的订阅:计划 1 和计划 2。 如果在 中具有威胁资源管理器https://security.microsoft.com/threatexplorer,则具有计划 2。 否则,作为计划 1 的一https://security.microsoft.com/realtimereports部分,可以在 中执行实时检测。
Defender for Office 365订阅会影响你可用的工具,因此请确保在学习时知道你拥有哪个订阅。
Defender for Office 365 计划 1
| 功能 | 保留期 |
|---|---|
| 警报元数据详细信息 (Defender for Office 365 警报) | 90 天。 |
| 实体元数据详细信息 (Email) | 30 天。 |
| 活动警报详细信息 (审核日志) | 7 天。 |
| 电子邮件实体页面 | 30 天。 |
| Quarantine | 30 天 (可配置;最长) 为 30 天。 |
| 报表 | 聚合数据的 90 天。 详细信息为 30 天。 |
| 提交 | 30 天。 |
| Real-Time 检测 | 30 天。 |
Defender for Office 365 计划 2
Defender for Office 365计划 1 功能,以及:
| 功能 | 保留期 |
|---|---|
| 操作中心 | 180 天。 Office 操作中心 30 天。 |
| 高级搜寻 | 30 天。 |
| AIR (自动调查和响应) | 用于调查元数据的 60 天。 电子邮件元数据的 30 天。 |
| 攻击模拟训练数据 | 18 个月。 |
| 活动 | 30 天。 |
| 事件 | 30 天。 |
| 修复 | 30 天 |
| 威胁分析 | 30 天。 |
| 威胁资源管理器 | 30 天。 |
| 威胁跟踪器 | 30 天。 |