Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per IoT archivia i dati in Microsoft portale di Azure, in sensori di rete OT.
Ogni tipo di archiviazione ha diverse opzioni di capacità di archiviazione e tempi di conservazione. Questo articolo descrive i criteri di conservazione dei dati per la quantità di dati e la durata dell'archiviazione dei dati in ogni tipo di archiviazione prima di essere eliminati o sovrascritti.
Che cosa stiamo raccogliendo?
Defender per IoT raccoglie informazioni dai dispositivi configurati e le archivia in un tenant specifico del servizio, dedicato al cliente e separato. I dati archiviati sono a scopo di amministrazione, rilevamento e creazione di report.
Le informazioni raccolte includono i dati di connessione di rete (INDIRIZZI IP e porte) e i dettagli del dispositivo (identificatori del dispositivo, nomi, versioni del sistema operativo, versioni del firmware). Defender per IoT archivia questi dati in modo sicuro in conformità alle procedure di privacy Microsoft e ai criteri del Centro protezione Microsoft.
Questi dati consentono a Defender per IoT di:
- Identificare in modo proattivo gli indicatori di attacco (I/O) nell'organizzazione.
- Generare avvisi se viene rilevato un possibile attacco.
- Fornire al team di sicurezza una visualizzazione dei dispositivi e degli indirizzi correlati ai segnali di minaccia provenienti dalla rete, consentendo di analizzare ed esplorare le possibili minacce alla sicurezza di rete.
Microsoft non usa i dati per la pubblicità.
Percorso dati
Defender per IoT usa i data center microsoft Azure nell'Unione europea e nella Stati Uniti. I dati dei clienti raccolti dal servizio potrebbero essere archiviati in una delle due posizioni geografiche seguenti:
- Georilevazione del tenant identificata durante il provisioning.
- Georilevazione definita dalle regole di archiviazione dei dati di un servizio online, usata da Defender per IoT per elaborare i dati.
Conservazione dei dati
I dati di Defender per IoT vengono conservati per tutto il tempo in cui un cliente è attivo o per 90 giorni dopo la fine del contratto. Durante questo periodo i dati sono visibili negli altri servizi nel portale.
I dati vengono conservati ed è disponibile mentre la licenza è in un periodo di tolleranza o in modalità sospesa. 90 giorni dopo la fine di questo periodo, i dati vengono cancellati dai sistemi Microsoft, rendendoli irrecuperabili.
Periodi di conservazione dei dati del dispositivo
La tabella seguente elenca per quanto tempo i dati del dispositivo vengono archiviati in ogni tipo di archiviazione Defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Portale di Azure | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore. |
Conservazione dei dati degli avvisi
La tabella seguente elenca la durata dell'archiviazione dei dati degli avvisi in ogni tipo di archiviazione Defender per IoT. I dati degli avvisi vengono archiviati come elencati, indipendentemente dallo stato dell'avviso o dal fatto che siano stati appresi o disattivati.
| Tipo di archiviazione | Dettagli |
|---|---|
| Portale di Azure | 90 giorni dalla data nel valore Primo rilevamento . Per altre informazioni, vedere Visualizzare e gestire gli avvisi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data nel valore Primo rilevamento . Per altre informazioni, vedere Visualizzare gli avvisi nel sensore. |
Conservazione dei dati PCAP degli avvisi OT
La tabella seguente elenca per quanto tempo i dati PCAP vengono archiviati in ogni tipo di archiviazione Defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Portale di Azure | I file PCAP sono disponibili per il download dal portale di Azure per tutto il tempo in cui vengono archiviati dal sensore di rete OT. Dopo il download, i file vengono memorizzati nella cache nel portale di Azure per 48 ore. Per altre informazioni, vedere Accedere ai dati PCAP degli avvisi. |
| Sensore di rete OT | A seconda della capacità di archiviazione del sensore allocata per i file PCAP, che ne determina il profilo hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Se un sensore supera la capacità di archiviazione massima, il file PCAP meno recente viene eliminato per supportare quello nuovo. Per altre informazioni, vedere Accedere ai dati PCAP degli avvisi e alle appliance fisiche pre-configurate per il monitoraggio OT. |
L'utilizzo dello spazio di archiviazione PCAP disponibile dipende da fattori quali il numero di avvisi, il tipo di avviso e la larghezza di banda di rete, che influiscono tutte sulle dimensioni del file PCAP.
Consiglio
Per evitare di dipendere dalla capacità di archiviazione del sensore, usare l'archiviazione esterna per eseguire il backup dei dati PCAP.
Conservazione delle raccomandazioni di sicurezza
Le raccomandazioni sulla sicurezza di Defender per IoT vengono archiviate solo nel portale di Azure, per 90 giorni dal momento in cui viene rilevata la raccomandazione per la prima volta.
Per altre informazioni, vedere Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza.
Conservazione della sequenza temporale degli eventi OT
I dati della sequenza temporale degli eventi OT vengono archiviati solo nei sensori di rete OT e la capacità di archiviazione varia a seconda del profilo hardware del sensore.
La conservazione dei dati della sequenza temporale degli eventi non è limitata dal tempo. Tuttavia, presupponendo una frequenza di 500 eventi al giorno, tutti i profili hardware sono in grado di conservare gli eventi per almeno 90 giorni.
Se un sensore supera le dimensioni massime di archiviazione, il file di dati della sequenza temporale degli eventi meno recente viene eliminato per adattarlo a quello nuovo.
La tabella seguente elenca il numero massimo di eventi che è possibile archiviare per ogni profilo hardware:
| Profilo hardware | Numero di eventi |
|---|---|
| C5600 | Eventi 10M |
| E1800 | Eventi 10M |
| E1000 | Eventi 6M |
| E500 | Eventi 6M |
| L500 | Eventi 3M |
| L100 | Eventi da 500 K |
Per altre informazioni, vedere Tenere traccia dell'attività dei sensori e delle appliance fisiche pre-configurate per il monitoraggio OT.
Conservazione dei file di log OT
I file di log di servizio ed elaborazione vengono archiviati nel portale di Azure per 30 giorni dalla data di creazione.
Altri file di log di monitoraggio OT vengono archiviati solo nel sensore di rete OT.
Per altre informazioni, vedere:
Capacità del file di backup
Il sensore di rete OT dispone di backup automatizzati in esecuzione ogni giorno e i file di backup meno recenti vengono sovrascritti quando la capacità di archiviazione configurata raggiunge il limite.
Per altre informazioni, vedere:
Backup nel sensore di rete OT
La conservazione dei file di backup dipende dall'architettura del sensore, poiché ogni profilo hardware ha una quantità impostata di spazio su disco rigido allocato per la cronologia del backup:
| Profilo hardware | Spazio su disco rigido allocato |
|---|---|
| L100 | I backup non sono supportati |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Condivisione dei dati per Microsoft Defender per IoT
Microsoft Defender per IoT condivide i dati, inclusi i dati dei clienti, tra i prodotti Microsoft seguenti, concessi in licenza anche dal cliente.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender per il cloud
- Microsoft Defender per endpoint
- Gestione dell'esposizione in Microsoft Security
Passaggi successivi
Per ulteriori informazioni, vedere: