Log retention tiers in Microsoft Sentinel

適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

對於連接 Defender 的 Microsoft Sentinel 工作空間，分層與保留管理必須在 Defender 入口網站的新資料表管理體驗中完成。對於未綁定的 Microsoft Sentinel 工作區，請繼續使用以下描述的體驗來管理工作空間中的資料。

日誌收集與保存有兩個相互競爭的面向，對成功的威脅偵測計畫至關重要。一方面，你要盡量多收集日誌來源，以獲得最全面的安全保障。另一方面，你需要盡量減少因收集所有這些資料所產生的成本。

這些相互競爭的需求需要一套在資料可及性、查詢效能與儲存成本間取得平衡的日誌管理策略。

本文討論資料類別及用於儲存和存取資料的保留狀態。同時也說明了 Microsoft Sentinel 提供給你建立日誌管理與保留策略的日誌層級。

重要事項

自 2027 年 3 月 31 日起，Microsoft Sentinel 將不再支援 Azure 入口網站，僅能在 Microsoft Defender 入口網站中使用。所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶，將被重新導向至 Defender 入口網站，且僅在 Defender 入口網站使用 Microsoft Sentinel。

如果您仍在 Azure 入口網站使用 Microsoft Sentinel，建議您開始規劃轉換至 Defender 入口網站，以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。

被導入資料的分類

Microsoft 建議將匯入 Microsoft Sentinel 的資料分為兩大類：

主要安全資料 是指包含關鍵安全價值的資料。這些資料用於即時主動監控、預定警報及分析，以偵測安全威脅。這些資料必須能即時即時提供給所有 Microsoft Sentinel 體驗。
次級安全資料 是補充資料，通常以大量冗長的日誌形式呈現。這些資料的安全價值有限，但能為偵測與調查提供豐富性與脈絡，有助於勾勒出安全事件的全貌。它不必隨手可得，但應能隨時按需取得，且劑量適宜。

此類別包含對組織具有關鍵安全價值的日誌。安全作業的主要安全資料使用案例包括：

一些主要資料來源的例子包括：

包含主要安全資料的日誌應透過 分析層級儲存。

此類別涵蓋個別安全價值有限但對提供全面安全事件或外洩視圖至關重要的日誌。這些日誌通常量大且冗長。這些資料的安全操作使用情境包括以下幾點：

次級資料日誌來源的例子包括雲端儲存存取日誌、NetFlow 日誌、TLS/SSL 憑證日誌、防火牆日誌、代理日誌及物聯網日誌。

對於包含次級安全資料的日誌，請使用 Microsoft Sentinel 資料湖，該湖設計用於提升擴展性、彈性及整合能力，適用於進階安全與合規情境。

Microsoft Sentinel 提供兩種不同的日誌儲存層級或類型，以容納這些被攝取的資料類別。

分析層預設將資料保持互動式保留狀態 90 天，且可擴充最多兩年。這種互動狀態雖然昂貴，但讓你能以高效能、無限制的方式查詢資料，且每次查詢免費。

Microsoft Sentinel 資料湖是一個完全管理的現代化資料湖，能夠大規模統一並保存安全資料，實現多元模式的進階分析與人工智慧代理驅動的威脅偵測。它賦予資安團隊調查長期威脅、豐富警示，並利用數月資料建立行為基準。

當總保留時間設定為比分析層級保留期更長，或分析層級保留期結束時，超出分析層級保留期後的資料仍可在資料湖層存取。

此頁面對您有幫助嗎？