跨適用於IoT的 Microsoft Defender 的數據保留和共用
適用於IoT的 Microsoft Defender 感測器會在部署後的初始學習期間,了解網路流量的基準。 此學習的基準會無限期地儲存在您的感測器上。
適用於 IoT 的 Defender 也會將其他資料儲存在 Azure 入口網站、OT 網路感測器和內部部署管理控制台中。
每個儲存位置都會提供特定的儲存容量和保留時間。 本文說明在刪除或覆寫之前,每種類型的數據儲存在每一個位置的長度和長度。
裝置數據保留期間
下表列出每個適用於IoT的Defender位置儲存裝置資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從 [上次活動] 值的日期起的 90 天。 如需詳細資訊,請參閱從 Azure 入口網站管理您的裝置詳細目錄。 |
| OT 網路感測器 | 從 [上次活動] 值的日期起的 90 天。 如需詳細資訊,請參閱 從感測器主控台管理您的OT裝置清查。 |
| 內部部署管理主控台 | 從 [上次活動] 值的日期起的 90 天。 如需詳細資訊,請參閱 從內部部署管理主控台管理您的OT裝置清查。 |
警示數據保留
下表列出每個適用於IoT的Defender位置中儲存警示資料的時間長度。 不論警示的狀態為何,或是否已學習或靜音,警示數據都會儲存為列出。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從第一個偵測值的日期起 90 天。 如需詳細資訊,請參閱檢視和管理來自 Azure 入口網站 的警示。 |
| OT 網路感測器 | 從第一個偵測值的日期起 90 天。 如需詳細資訊,請參閱 檢視感測器上的警示。 |
| 內部部署管理主控台 | 從第一個偵測值的日期起 90 天。 如需詳細資訊,請參閱 在內部部署管理主控台上使用警示。 |
OT 警示PCAP資料保留
下表列出每個適用於IoT的Defender位置中儲存PCAP資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 只要 OT 網路感測器儲存 PCAP 檔案,即可從 Azure 入口網站 下載。 下載之後,檔案會在 Azure 入口網站 快取 48 小時。 如需詳細資訊,請參閱 存取警示PCAP數據。 |
| OT 網路感測器 | 取決於配置給 PCAP 檔案的感測器儲存容量,由其 硬體配置檔決定: - C5600:130 GB - E1800:130 GB - E1000 :78 GB - E500:78 GB - L500:7 GB - L100:2.5 GB 如果感測器超過其最大儲存容量,則會刪除最舊的PCAP檔案以容納新的檔案。 如需詳細資訊,請參閱存取警示PCAP數據和預先設定的實體設備以進行OT監視。 |
| 內部部署管理主控台 | PCAP 檔案不會儲存在內部部署管理控制臺上,而且只能透過OT感測器的直接連結從內部部署管理控制台存取。 |
可用PCAP儲存空間的使用取決於警示數目、警示類型及網路頻寬等因素,這一切都會影響PCAP檔案的大小。
提示
若要避免相依於感測器的儲存容量,請使用外部記憶體來備份PCAP資料。
安全性建議保留
適用於 IoT 的 Defender 安全性建議只會儲存在 Azure 入口網站 上,從第一次偵測到建議起的 90 天。
如需詳細資訊,請參閱使用安全性建議增強安全性態勢。
OT 事件時間軸保留
OT 事件時間軸數據只會儲存在 OT 網路感測器上,而且儲存容量會根據感測器 的硬體配置檔而有所不同。
事件時間軸數據的保留不受時間限制。 不過,假設每天有 500 個事件的頻率,所有硬體配置檔都能夠保留至少 90 天的事件。
如果感測器超過其記憶體大小上限,則會刪除最舊的事件時間軸數據檔以容納新的檔案。
下表列出每個硬體設定檔可儲存的事件數目上限:
| 硬體設定檔 | 事件數目 |
|---|---|
| C5600 | 10M 事件 |
| E1800 | 10M 事件 |
| E1000 | 6M 事件 |
| E500 | 6M 事件 |
| L500 | 3M 事件 |
| L100 | 500-K 事件 |
如需詳細資訊,請參閱追蹤感測器活動和預先設定的實體設備以進行OT監視。
OT 記錄檔保留
服務和處理記錄檔會從建立日期起 30 天內儲存在 Azure 入口網站 上。
其他 OT 監視記錄檔只會儲存在 OT 網路感測器和內部部署管理控制臺上。
如需詳細資訊,請參閱
- 針對感應器進行疑難排解 (部分機器翻譯)
- 針對內部部署管理主控台進行疑難解答
資料共用
適用於 IoT 的 Defender 會共享數據,包括客戶數據,以及客戶授權的下列 Microsoft 產品:
- Microsoft 安全性暴露管理
內部部署備份檔容量
OT 網路感測器和內部部署管理控制台都會每天執行自動備份。
在 OT 感測器和內部部署管理控制臺上,當設定的記憶體容量達到最大值時,會覆寫較舊的備份檔。
如需詳細資訊,請參閱
OT 網路感測器上的備份
備份檔的保留取決於感測器的架構,因為每個硬體配置檔都有一組為備份歷程記錄配置的硬碟空間:
| 硬體設定檔 | 配置的硬碟空間 |
|---|---|
| L100 | 不支援備份 |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
如果裝置沒有配置硬碟空間,則只會在內部部署管理控制臺上儲存最後一個備份。
內部部署管理控制臺上的備份
內部部署管理主控台備份檔的已配置硬碟空間限製為10 GB,且只有20個備份。
如果您使用內部部署管理主控台,每個連線的 OT 感測器在內部部署管理控制臺上也有自己的額外備份目錄:
- 單一感測器備份檔最多限制為 40 GB。 超過該大小的檔案將不會傳送至內部部署管理主控台。
- 從內部部署管理控制臺上所有感測器配置給感測器備份的硬碟空間總計為100 GB。
下一步
如需詳細資訊,請參閱