在資料收集、儲存與處理後,合規性可能成為重要的設計要求,對您的 Microsoft Sentinel 架構產生重大影響。 能夠驗證並證明誰在任何情況下都能存取哪些資料,是許多國家和地區資料主權的關鍵需求,而評估風險並在 Microsoft Sentinel 工作流程中獲得洞察,是許多客戶的優先事項。
本文可協助你符合合規要求,說明 Microsoft Sentinel 資料的存放地點。
重要事項
根據 21Vianet 發布的公告,所有 Microsoft Sentinel 功能將於 2026 年 8 月 18 日在 21Vianet 所營運的 Azure 區域正式退休。 由於即將退休,客戶將無法再重新加入服務的新訂閱。
我們建議客戶與其由 21Vianet 營運的 Microsoft Azure 帳戶代表合作,評估此次退休對自身營運的影響。
收集的資料
Microsoft Sentinel 收集以下類型的資料:
- 原始資料,例如從連接的 Microsoft 服務及合作夥伴系統收集的事件資料。 來自多個雲端和來源的資料會串流到客戶的 Azure Log Analytics 工作空間,該工作空間與 Microsoft Sentinel 相關聯,並依據客戶租戶的訂閱方式。 此方法讓客戶能選擇區域及保留與刪除政策。
- 處理過的資料,例如事件、警示等等。
- 設定資料,例如連接器設定、規則等等。
資料儲存位置
服務所使用的資料,包括客戶資料,可能會儲存並處理於以下地點:
| 資料類型 | 位置 |
|---|---|
| 原始資料 | 儲存在與 Microsoft Sentinel 相關的 Azure Log Analytics workspace 相同區域。 欲了解更多資訊,請參閱 支援區域。 原始資料會在以下其中一個地點處理: - 位於歐洲的日誌分析工作空間,客戶資料在歐洲處理。 - 位於以色列的日誌分析工作區,客戶資料在以色列處理。 - 對於位於中國21Vianet區域的日誌分析工作區,客戶資料均在中國21Vianet處理。 - 對於位於其他地點的工作區,客戶資料會在美國區域內處理。 |
| 處理過的資料與設定資料 | - 當 Microsoft Sentinel 被導入 Defender 入口網站時,處理過的資料與設定資料可能會儲存並處理於 Microsoft Defender 全面偵測回應區域。 欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應中的資料安全與保留。 - 當 Microsoft Sentinel 未被導入 Defender 入口網站時,處理中的資料與設定資料會以與原始資料相同的方法來儲存與處理。 |
支援的地區
下表顯示支援 Microsoft Sentinel SIEM 及資料湖的區域。
| 大陸 | 國家/地區 | SIEM 支援的區域 | 資料湖支援區域 |
|---|---|---|---|
| 北美 | 加拿大 | • 加拿大中央鐵路 • 加拿大東部 |
• 加拿大中央鐵路 |
| 美國 | • 美國中部 • 美國東部 • 東美國2號公路 • 東美國2 EUAP • 美國中北部 • 美國中南部 • 美國西部 • 美國西2號公路 • 美國西部3號公路 • 美國中西部 Azure government • 美國亞利桑那州政府 • 維吉尼亞州聯邦政府 • 美國海軍東部 • 美國海軍陸戰隊西部 • USSec東部 • 美國新聞公司西區 |
• 美國中部 • 美國東部 • 東美國2號公路 • 美國中南部 • 美國西2號公路 |
|
| 南美洲 | 巴西 | • 巴西南區 • 巴西東南區 |
|
| 亞洲與中東 | • 東亞 • 東南亞 |
• 東南亞 | |
| 中國21Vianet | • 東方2 • 中國北方3區 |
||
| 印度 | • 中印度 • Jio India West • Jio India Central |
• 中印度 | |
| 以色列 | • 以色列中央 | • 以色列中央 | |
| 日本 | • 日本東部 • 日本西 |
• 日本東部 | |
| 南韓 | • 韓國中央 • 韓國南 |
||
| 卡達 | • 卡達中央 | ||
| 阿拉伯聯合大公國 | • 阿聯酋中部 • 阿聯酋北部 |
||
| 歐洲 | • 北歐 • 西歐 |
• 北歐 • 西歐 |
|
| 法國 | • 法國中央 • 法國南區 |
• 法國中央 | |
| 德國 | • 德國西中部 | ||
| 義大利 | • 義大利北部 | • 義大利北部 | |
| 挪威 | • 挪威東部 • 挪威西區 |
||
| 瑞典 | • 瑞典中央 | ||
| 瑞士 | • 瑞士北部 • 瑞士西部 |
• 瑞士北部 | |
| 英國 | • 英國南部 • 英國西部 |
• 英國南部 | |
| 澳洲 | 澳洲 | • 澳洲中央 澳洲中央2 • 澳洲東部 • 澳洲東南區 |
• 澳洲東部 |
| 非洲 | 南非 | • 南非北部 |
重要事項
Microsoft Sentinel 資料湖必須部署在與相關主要 Sentinel 工作區相同的 Azure 區域。
資料保留
Microsoft Sentinel 的資料會保留至以下最早日期:
- 客戶將 Microsoft Sentinel 從他們的工作空間移除
- 根據客戶設定的留任政策
在那之前,客戶隨時可以刪除他們的資料。
客戶資料會被保留,並在授權處於寬限期或暫停狀態期間提供。 在此期間結束後,且不遲於合約終止或到期後90天內,資料會從Microsoft系統中被抹除,使其無法恢復。
Microsoft Sentinel 嘅資料共享
Microsoft Sentinel 可能會在以下 Microsoft 產品間共享資料,包括客戶資料:
- Microsoft Defender XDR
- Azure Log Analytics
相關內容
如需詳細資訊,請參閱:
- 關於 Azure 區域的詳細資訊,設計工作空間架構時很有用。
- Microsoft Sentinel 的業務持續性與災難復原