在 Microsoft Sentinel 中設定互動式和長期資料保留
在上一個部署步驟中,您已啟用 [使用者和實體行為分析 (UEBA)] 功能,以簡化您的分析程序。 在本文中,您會了解如何設定互動式和長期資料保留,以確保組織能保留長期重要的資料。 本文是 Microsoft Sentinel 部署指南的一部分。
設定資料保留
保留原則會在 Log Analytics 工作區中定義何時移除資料,或將其標示為長期保留。 長期保留可讓您以較低的成本保留工作區中較舊、較少使用的資料。 若要設定資料保留計畫,請參閱 Microsoft Sentinel 中的記錄保留計畫,並根據您的使用案例使用其中一或兩種方法:
- 設定一或多個資料表的互動式和長期資料保留 (一次一個資料表)
- 一次設定多個資料表的資料保留
下一步
在本文中,您已了解如何設定互動式和長期資料保留。