Microsoft Defender for IoT は、データを Microsoft Azure portal、OT ネットワーク センサーに格納します。
各ストレージの種類には、さまざまなストレージ容量オプションと保持時間があります。 この記事では、データの量と、データが削除または上書きされる前に各ストレージの種類に格納される時間の長さのデータ保持ポリシーについて説明します。
何を収集していますか?
Defender for IoT は、構成済みのデバイスから情報を収集し、サービス固有の顧客専用の分離されたテナントに格納します。 保存されたデータは、管理、追跡、およびレポートの目的で使用されます。
収集される情報には、ネットワーク接続データ (IP とポート)、デバイスの詳細 (デバイス識別子、名前、オペレーティング システムのバージョン、ファームウェアのバージョン) が含まれます。 Defender for IoT は、Microsoft のプライバシー プラクティスと Microsoft セキュリティ センターポリシーに従って、このデータを安全に保存します。
このデータにより、Defender for IoT では次のことが可能になります。
- organization内の攻撃 (IOA) のインジケーターを事前に特定します。
- 攻撃の可能性が検出された場合にアラートを生成します。
- セキュリティ チームに、ネットワークからの脅威信号に関連するデバイスとアドレスを表示し、ネットワーク セキュリティの脅威の可能性を調査して調査できるようにします。
Microsoft では、広告にデータを使用しません。
データの場所
Defender for IoT は、欧州連合と米国の Microsoft Azure データ センターを使用します。 サービスによって収集された顧客データは、次の 2 つの地理的な場所のいずれかに格納される場合があります。
- プロビジョニング中に識別されるテナントの位置情報。
- Defender for IoT がデータを処理するために使用するオンライン サービスのデータ ストレージ ルールによって定義される位置情報。
データ保持
Defender for IoT からのデータは、顧客がアクティブである限り、または契約終了後 90 日間保持されます。 この期間中、データはポータル上の他のサービス間で表示されます。
データは保持され、ライセンスが猶予期間または中断モードの間に使用できます。 この期間が終了してから 90 日後に、データは Microsoft のシステムから消去され、回復不能になります。
デバイス データの保持期間
次の表に、各 Defender for IoT ストレージの種類にデバイス データを格納する期間を示します。
| ストレージの種類 | 詳細 |
|---|---|
| Azure portal |
Last アクティビティ値の日付から 90 日。 詳細については、「Azure portalからデバイス インベントリを管理する」を参照してください。 |
| OT ネットワーク センサー |
Last アクティビティ値の日付から 90 日。 詳細については、「 センサー コンソールから OT デバイス インベントリを管理する」を参照してください。 |
アラート データの保持
次の表に、各 Defender for IoT ストレージの種類にアラート データを格納する期間を示します。 アラート データは、アラートの状態、またはアラートが学習またはミュートされているかどうかに関係なく、一覧表示として格納されます。
| ストレージの種類 | 詳細 |
|---|---|
| Azure portal |
最初の検出値の日付から 90 日。 詳細については、「Azure portalからのアラートの表示と管理」を参照してください。 |
| OT ネットワーク センサー |
最初の検出値の日付から 90 日。 詳細については、「 センサーのアラートを表示する」を参照してください。 |
OT アラート PCAP データ保持
次の表に、各 Defender for IoT ストレージの種類に PCAP データを格納する時間を示します。
| ストレージの種類 | 詳細 |
|---|---|
| Azure portal | PCAP ファイルは、OT ネットワーク センサーによって保存されている限り、Azure portalからダウンロードできます。 ダウンロードすると、ファイルはAzure portalに 48 時間キャッシュされます。 詳細については、「 アラート PCAP データにアクセスする」を参照してください。 |
| OT ネットワーク センサー | PCAP ファイルに割り当てられたセンサーのストレージ容量に応じて、 ハードウェア プロファイルが決まります。 - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB センサーが最大ストレージ容量を超えた場合、新しい PCAP ファイルに対応するために最も古い PCAP ファイルが削除されます。 詳細については、「 アラート PCAP データへのアクセス 」および 「OT 監視用に事前に構成された物理アプライアンス」を参照してください。 |
使用可能な PCAP ストレージ領域の使用は、アラートの数、アラートの種類、ネットワーク帯域幅などの要因によって異なります。これらはすべて PCAP ファイルのサイズに影響します。
ヒント
センサーのストレージ容量に依存しないようにするには、外部ストレージを使用して PCAP データをバックアップします。
セキュリティに関する推奨事項の保持
Defender for IoT のセキュリティに関する推奨事項は、推奨事項が最初に検出されてから 90 日間、Azure portalにのみ格納されます。
詳細については、「 セキュリティに関する推奨事項を使用してセキュリティ体制を強化する」を参照してください。
OT イベント タイムラインリテンション期間
OT イベント タイムライン データは OT ネットワーク センサーにのみ格納され、ストレージ容量はセンサーのハードウェア プロファイルによって異なります。
イベントタイムラインデータの保持期間は、時間によって制限されません。 ただし、1 日あたり 500 イベントの頻度を想定すると、すべてのハードウェア プロファイルは少なくとも 90 日間イベントを保持できます。
センサーが最大ストレージ サイズを超えた場合、データ ファイルタイムライン最も古いイベントが削除され、新しいデータ ファイルに対応します。
次の表に、ハードウェア プロファイルごとに格納できるイベントの最大数を示します。
| ハードウェア プロファイル | イベントの数 |
|---|---|
| C5600 | 10M イベント |
| E1800 | 10M イベント |
| E1000 | 6M イベント |
| E500 | 6M イベント |
| L500 | 3M イベント |
| L100 | 500-K イベント |
詳細については、「 センサー アクティビティの追跡 」と「 OT 監視用の事前構成済み物理アプライアンス」を参照してください。
OT ログ ファイルの保持
サービスおよび処理ログ ファイルは、作成日から 30 日間、Azure portalに保存されます。
その他の OT 監視ログ ファイルは、OT ネットワーク センサーにのみ格納されます。
詳細については、以下を参照してください:
バックアップ ファイルの容量
OT ネットワーク センサーには、毎日実行されている自動バックアップがあり、構成されたストレージ容量がその制限に達すると、古いバックアップ ファイルが上書きされます。
詳細については、以下を参照してください:
OT ネットワーク センサーのバックアップ
バックアップ ファイルの保持は、各ハードウェア プロファイルにバックアップ履歴用に割り当てられたハード ディスク領域が設定されるため、センサーのアーキテクチャによって異なります。
| ハードウェア プロファイル | 割り当てられたハード ディスク領域 |
|---|---|
| L100 | バックアップはサポートされていません |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
IoT 用のMicrosoft Defenderのデータ共有
IoT 用のMicrosoft Defenderは、次の Microsoft 製品のうち、顧客データを含むデータを共有します。また、お客様がライセンスを取得しています。
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft 脅威インテリジェンス センター
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft セキュリティ露出管理
次の手順
詳細については、以下を参照してください。