Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Data, du indsamler i Microsoft Sentinel (SIEM) og Microsoft Defender XDR, gemmes i tabeller. På Microsoft Defender-portalen kan du administrere opbevaringsperioden og de lageromkostninger, der er knyttet til dine data. Du kan administrere opbevaring og omkostninger, når du:
- Konfigurer dataconnectors for at sende data til Microsoft Sentinel eller Microsoft Defender XDR.
- Administrer dine eksisterende tabeller og data.
I denne artikel forklares det, hvordan du administrerer indstillinger for tabelopbevaring og -niveau på portalen Microsoft Defender for at optimere sikkerhedshandlinger og reducere omkostningerne i Microsoft Sentinel og Microsoft Defender XDR.
Hvilke tabeller kan du administrere på Defender-portalen?
I dette afsnit beskrives de tabeltyper, du kan administrere på Microsoft Defender-portalen.
| Tabeltype | Beskrivelse | Eksempler | Er i Microsoft Sentinel arbejdsområde? |
|---|---|---|---|
| Microsoft Sentinel | Indbyggede tabeller, herunder: – Azure tabeller, f.eks. AzureDiagnostics og SigninLogs. - Microsoft Sentinel tabeller. - Microsoft Defender XDR integration med Microsoft Sentinel, som oprettes i dit Microsoft Sentinel arbejdsområde, når du øger opbevaringsperioden for analyse ud over 30 dage. Se XDR-tabeltypen for at få Defender XDR tabeller, der ikke understøttes i øjeblikket. |
- Azure tabeller: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabeller: AWSCloudTrail,SecurityAlert- XDR-tabeller: DeviceEvents,AlertInfo |
Ja |
| Brugerdefinerede | Tabeller, du opretter manuelt eller via job i dit Microsoft Sentinel arbejdsområde, herunder oversigtsregel- og søgejobresultattabeller og brugerdefinerede datakildetabeller. | Tabeller med _CL eller _SRCH suffikser. |
Ja |
| XDR | Tabeller på XDR-standardniveauet, der som standard har 30 dages analyseopbevaring. Du kan få vist disse tabeller, men du kan ikke administrere dem fra Defender-portalen. | IdentityInfo |
Nej |
Bemærk!
Du kan få vist tabeller med grundlæggende logge i dit Microsoft Sentinel arbejdsområde fra Defender-portalen, men du kan i øjeblikket kun administrere dem fra dit Log Analytics-arbejdsområde. Hvis du vil administrere disse tabeller fra Defender-portalen, skal du ændre tabelplanen fra grundlæggende til analyse i dit Microsoft Sentinel arbejdsområde.
Sådan fungerer dataniveauer og opbevaring
Du kan gemme data i Microsoft Sentinel på et af to niveauer:
Analyseniveau: Dette niveau gør data tilgængelige for beskeder, jagt, projektmapper og alle Microsoft Sentinel funktioner. Den bevarer data i to tilstande:
- Opbevaring af analyser: I denne "varme" tilstand er data fuldt tilgængelige til analyse i realtid – herunder forespørgsler med høj ydeevne og analyseregler – og trusselsjagt. Som standard bevarer Microsoft Sentinel og Microsoft Defender XDR data på dette niveau i 30 dage. Du kan forlænge opbevaringsperioden for alle tabeller til op til to år med et forholdsmæssigt månedligt langtidsopbevaringsgebyr. Du kan forlænge opbevaringsperioden for Microsoft Sentinel løsningstabeller til 90 dage gratis.
- Samlet opbevaring: Som standard afspejles alle data på analyseniveauet til datasøen for den samme opbevaringsperiode. Du kan forlænge opbevaringen af dine data i søen ud over opbevaringen af analyser i op til 12 års samlet opbevaring til en lav pris.
Niveau for datasø: På dette "kolde" lavprisniveau bevarer Microsoft Sentinel kun dine data i søen. Data på data lake-niveauet er ikke tilgængelige til analysefunktioner i realtid og trusselsjagt. Du kan dog få adgang til data i søen, når du har brug for det, via KQL-job, analysere tendenser over tid ved at køre planlagte KQL- eller Spark-job og samle indsigt fra indgående data med jævne mellemrum ved hjælp af oversigtsregler.
XDR-data: Som standard er Microsoft Defender XDR trusselsjagtdata altid tilgængelige på analyseniveauet i 30 dage. Du kan forlænge opbevaringen af disse data på analyseniveauet op til 90 dage, hvilket medfører omkostninger til indtagelse, men lagerplads er gratis. Hvis du strækker dig over mere end 90 dage i analyserne, medfører det også lageromkostninger. Du kan også udelukkende indtage data lake-niveauet, men dataene er altid tilgængelige på analyseniveau i 30 dage. Det er mere omkostningseffektivt at indtage XDR-data direkte på data lake-niveauet, men det omfatter omkostninger til indtagelse, lagring og behandling. I denne indstilling får kunderne stadig data for 30 dage på analyseniveauet uden yderligere omkostninger.
Du kan få flere oplysninger om forskellene mellem disse to opbevaringstyper under Sammenlign niveauerne for analyse og datasøer.
I dette diagram vises opbevaringskomponenterne for analyse-, datasø- og XDR-standardniveauerne, og hvilke tabeltyper der gælder for hvert niveau:
Du kan få flere oplysninger om Microsoft Sentinel datasø under Hvad er Microsoft Sentinel datasø.
Sammenlign niveauerne for analyse og datasøer
I denne tabel sammenlignes de to niveauer af analyser og datasøer og deres vigtigste egenskaber:
| Sammenligning | Analyseniveau | Niveau for datasø |
|---|---|---|
| Nøgleegenskaber | Forespørgsler og indeksering med høj ydeevne for logge (også kendt som varm eller interaktiv opbevaring). | Omkostningseffektiv langtidsopbevaring af store datamængder (også kendt som kølelager). |
| Bedst til | Analyseregler i realtid, advarsler, jagt, projektmapper og alle Microsoft Sentinel funktioner. | - Overholdelse og logføring af regler og standarder. - Historisk tendensanalyse og teknik. – Low-touch-data, der ikke er nødvendige for beskeder i realtid. |
| Indtagelsesomkostninger | Standard | Minimal |
| Prisen for forespørgslen er inkluderet | ✅ | ❌ |
| Optimeret forespørgselsydeevne | ✅ |
❌ Langsommere forespørgsler. God til overvågning. Ikke optimeret til analyse i realtid. |
| Forespørgselsfunktioner | Komplette forespørgselsfunktioner i portalerne Microsoft Defender og Azure og ved hjælp af API'er. |
-
Komplette forespørgselsfunktioner , herunder forenings- og joinforbindelser. – Kør planlagte KQL- eller Spark-job. - Brug notesbøger. |
| Komplet sæt analysefunktioner i realtid | ✅ | ❌ Begrænsninger for nogle funktioner, herunder analyseregler, jagtforespørgsler, fortolkere, visningslister, projektmapper og playbooks. |
| Søg efter job | ✅ | ✅ |
| Oversigtsregler | ✅ | ✅ Fuld KQL på en enkelt tabel, som du kan udvide med data fra en analysetabel ved hjælp af opslag |
| Gendanne | ✅ | ❌ KQL- og Notebook-job kan hæve data til analyseniveauet. |
| Dataeksport | ✅ | ❌ |
| Opbevaringsperioden | 90 dage i Microsoft Sentinel, 30 dage for Microsoft Defender XDR. Kan udvides til op til to år til et forholdsmæssigt månedligt langtidsopbevaringsgebyr. |
Det samme som opbevaring af analyse som standard. Kan udvides til op til 12 år. |
Hvad sker der, når du ændrer tabelindstillinger
Du kan når som helst ændre en tabels indstillinger for niveau og opbevaring.
Når du ændrer en tabels tierby standard xdr fra analyse til datasø, holder alle realtidsanalyser og jagtforespørgsler op med at fungere.
Når du forkorter en tabels samlede opbevaring, venter Microsoft 30 dage, før dataene fjernes, så du kan gendanne ændringen og undgå tab af data, hvis du har foretaget en fejl i konfigurationen.
Når du øger den samlede opbevaring, gælder den nye opbevaringsperiode for alle data, der allerede blev indtaget i tabellen og endnu ikke er fjernet.
Når du ændrer indstillingerne for analyseopbevaring i en tabel med eksisterende data, træder ændringen i kraft med det samme.
Eksempel:
- Du har en tabel på analyseniveauet med 180 dages opbevaring af analyser. Opbevaring i alt er som standard også angivet til 180 dage.
- Du kan ændre analyseopbevaring til 90 dage uden at ændre den samlede opbevaringsperiode på 180 dage.
- Microsoft Sentinel fjerner automatisk de sidste 90 dages data fra opbevaring af analyser, men fortsætter med at gemme data, der er 90-180 dage i datasøen.
Administrer XDR-data i Microsoft Sentinel
Som standard bevarer Microsoft Defender XDR trusselsjagtdata på XDR-standardniveauet i 30 dage. Disse data overføres som standard ikke til niveauerne for analyse eller datasøer. Hvis du udvider opbevaringsperioden for de understøttede XDR-tabeller til mere end 30 og op til 90 dage, gælder Sentinel indtagelsesomkostninger, men der er ingen ekstra lageromkostninger. Tabellerne oprettes i dit Microsoft Sentinel arbejdsområde på analyseniveauet og afspejles i data lake-niveauet.
Hvis du aktiverer den Microsoft Sentinel XDR-connector i Azure Portal, overføres de tabeller, du vælger under konfigurationen, automatisk til analyseniveauet og afspejles i datasøniveauet. Standardopbevaring er 30 dage, og du kan forlænge den med op til 12 år. Du kan se en liste over tabeller under Microsoft Defender XDR integration med Microsoft Sentinel. Du kan overføre understøttede XDR-tabeller, som du ikke valgte under udrulningen af connectoren, til analyseniveauet og spejle dem på data lake-niveauet ved at angive opbevaringen til mere end 30 dage.
Hvis du ikke aktiverer Microsoft Sentinel XDR-connector, indtages XDR-tabeller ikke automatisk, men du kan stadig indtage dem ved at angive opbevaring af analyse- eller datasøniveauer i mere end 30 dage på Defender-portalen.
Du kan vælge udelukkende at overføre understøttede XDR-tabeller til data lake-niveauet ved at vælge indstillingen Data lake-niveau , når du konfigurerer opbevaringsindstillingerne. Du kan få flere oplysninger under Konfigurer dataopbevaring og -niveauinddeling.
Stop med at overføre data til analyseniveauet ved at nulstille opbevaringen af analyseniveauet og den samlede opbevaring til standarden på 30 dage. Denne handling deaktiverer connectoren i Azure Portal.
Du kan få flere oplysninger om administration af tabeller og data under Administrer dine eksisterende tabeller og data.
Opbevaring af XDR-data og omkostninger
I følgende tabeller opsummeres de gratis opbevaringsperioder og omkostningskonsekvenserne for de forskellige niveauer i Microsoft Sentinel:
| Tier | Fastholdelse | Bemærkninger |
|---|---|---|
| Avanceret jagt (standard) | 30 dage | Standard, der er inkluderet i XDR-licensen |
| Analyseniveau | 31-90 dage | Gratis lagerplads til Sentinel-aktiverede arbejdsområder. Dataene afspejles i datasøen. Sentinel gebyrer for indtagelse. |
| Datasø | Konfigurerbar. Som standard det samme som analyseniveauet. | Gratis lagerplads, når den samlede opbevaring er det samme som opbevaring af analyseniveau. Opbevaring af data i datasøen ud over opbevaringsperioden for analyseniveauet medfører omkostninger til lagring af datasøer. Indtagelse af data direkte til data lake-niveauet medfører omkostninger til indtagelse, lagring og behandling. |
Du kan få flere oplysninger om fakturering og omkostninger under Forstå den fulde faktureringsmodel for Microsoft Sentinel
I følgende eksempler er XDR-data tilgængelige via avanceret jagt i mindst 30 dage, uanset opbevaringsindstillingerne i analyse- eller datasøniveauerne.
| Opbevaring af analyseniveau | Samlet opbevaring | Omkostninger til indtagelse på analyseniveau | Lageromkostninger på analyseniveau | Omkostninger på datasøniveau |
|---|---|---|---|---|
| 30 dage som standard | 30 dage som standard | Ingen ekstra omkostninger | NIELSEN | NIELSEN |
| 90 dage | 90 dage | Der gælder omkostninger for indtagelse på analyseniveau. | Ingen ekstra omkostninger. 90 dage inkluderet gratis. | Ingen ekstra omkostninger. Samlet opbevaring svarer til opbevaring på analyseniveau. |
| 90 dage | 180 dage | Der gælder omkostninger for indtagelse på analyseniveau. | Ingen ekstra omkostninger; 90 dage inkluderet gratis. | Omkostninger gælder i 90 dage med yderligere opbevaring af datasøer (180-90 dage). |
| 180 dage | 1 år | Der gælder omkostninger for indtagelse på analyseniveau. | Omkostninger gælder for 90 dage med yderligere opbevaring af analyseniveau. | Omkostninger gælder i 185 dage med yderligere opbevaring af datasøer (365-180 dage). |
| 0 dage (kun datasø) | 5 år | NIELSEN | NIELSEN | Der er omkostninger forbundet med indtagelse og opbevaring af datasøer i 5 år. |
Næste trin
Få mere at vide om: