Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Data du samler inn i Microsoft Sentinel (SIEM) og Microsoft Defender XDR lagres i tabeller. Med Microsoft Defender-portalen kan du administrere oppbevaringsperioden og butikkkostnadene som er knyttet til dataene. Du kan administrere oppbevaring og kostnader når du:
- Konfigurer datakoblinger til å sende data til Microsoft Sentinel eller Microsoft Defender XDR.
- Administrer eksisterende tabeller og data.
Denne artikkelen forklarer hvordan du administrerer alternativer for tabelloppbevaring og -lag i Microsoft Defender-portalen for å optimalisere sikkerhetsoperasjoner og redusere kostnader i Microsoft Sentinel og Microsoft Defender XDR.
Hvilke tabeller kan du administrere i Defender-portalen?
Denne delen beskriver tabelltypene du kan behandle i Microsoft Defender-portalen.
| Tabelltype | Beskrivelse | Eksempler | Er du i Microsoft Sentinel arbeidsområde? |
|---|---|---|---|
| Microsoft Sentinel | Innebygde tabeller, inkludert: – Azure tabeller, for eksempel AzureDiagnostics og SigninLogs. - Microsoft Sentinel tabeller. - Microsoft Defender XDR integrering med Microsoft Sentinel, som opprettes i Microsoft Sentinel arbeidsområdet når du øker oppbevaringsperioden for analyser utover 30 dager. Se XDR-tabelltypen for Defender XDR tabeller som for øyeblikket ikke støttes. |
- Azure tabeller: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabeller: AWSCloudTrail,SecurityAlert- XDR-tabeller: DeviceEvents,AlertInfo |
Ja |
| Egendefinerte | Tabeller du oppretter manuelt eller gjennom jobber i Microsoft Sentinel arbeidsområdet, inkludert sammendragsregel og resultattabeller for søkejobber og egendefinerte datakildetabeller. | Tabeller med _CL eller _SRCH suffikser. |
Ja |
| XDR | Tabeller i standardnivået for XDR, som har 30 dager med analyseoppbevaring som standard. Du kan vise disse tabellene, men du kan ikke administrere dem fra Defender-portalen. | IdentityInfo |
Nei |
Obs!
Du kan vise grunnleggende loggtabeller i Microsoft Sentinel-arbeidsområdet fra Defender-portalen, men du kan for øyeblikket bare administrere dem fra Log Analytics-arbeidsområdet. Hvis du vil administrere disse tabellene fra Defender-portalen, endrer du tabellplanen fra grunnleggende til analyse i Microsoft Sentinel-arbeidsområdet.
Slik fungerer datalag og oppbevaring
Du kan beholde data i Microsoft Sentinel i ett av to nivåer:
Analysenivå: Dette nivået gjør data tilgjengelige for varsling, jakt, arbeidsbøker og alle Microsoft Sentinel funksjoner. Den beholder data i to tilstander:
- Analyseoppbevaring: I denne «varme» tilstanden er data fullt tilgjengelig for sanntidsanalyser – inkludert spørringer med høy ytelse og analyseregler – og trusseljakt. Som standard Microsoft Sentinel og Microsoft Defender XDR beholde data i dette nivået i 30 dager. Du kan forlenge oppbevaringsperioden for alle tabeller til opptil to år med et fordelt månedlig langsiktig oppbevaringsgebyr. Du kan utvide oppbevaringsperioden for Microsoft Sentinel løsningstabeller til 90 dager gratis.
- Total oppbevaring: Som standard speileres alle data i analysenivået til datasjøen for samme oppbevaringsperiode. Du kan utvide oppbevaringen av dataene i innsjøen utover analyseoppbevaringen, i opptil 12 år med total oppbevaring til en lav pris.
Data lake tier: I denne rimelige "kalde" tier, Microsoft Sentinel beholder dataene i innsjøen bare. Data i datasjøen er ikke tilgjengelig for analysefunksjoner i sanntid og trusseljakt. Du kan imidlertid få tilgang til data i innsjøen når du trenger det gjennom KQL-jobber, analysere trender over tid ved å kjøre planlagte KQL- eller Spark-jobber, og aggregere innsikt fra innkommende data med jevne mellomrom ved hjelp av sammendragsregler.
XDR-data: Som standard er Microsoft Defender XDR trusseljaktdata alltid tilgjengelig i analysenivået i 30 dager. Du kan utvide oppbevaringen av disse dataene i analysenivået opptil 90 dager, noe som ville medføre inntakskostnader, men lagring er gratis. Hvis du utvider mer enn 90 dager i analysen, pådrar det seg også lagringskostnader. Du kan også ta inn utelukkende i datasjøen, men dataene er alltid tilgjengelige i analysenivået i 30 dager. Inntak av XDR-data direkte inn i datasjøen er mer kostnadseffektivt, men innebærer inntaks-, lagrings- og behandlingskostnader. I dette alternativet får kunder fortsatt 30 dager med data i analysenivået uten ekstra kostnader.
Hvis du vil ha mer informasjon om forskjellene mellom disse to oppbevaringstypene, kan du se Sammenligne analyse- og datainnsjønivåene.
Dette diagrammet viser oppbevaringskomponentene i standardlagene analyse, datasjø og XDR, og hvilke tabelltyper som gjelder for hvert nivå:
Hvis du vil ha mer informasjon om Microsoft Sentinel datasjøen, kan du se Hva er Microsoft Sentinel datasjøen.
Sammenligne analyse- og datainnsjønivåene
Denne tabellen sammenligner de to analyse- og datainnsjønivåene og de viktigste egenskapene:
| Sammenligning | Analysenivå | Data lake tier |
|---|---|---|
| Nøkkelegenskaper | Spørring og indeksering med høy ytelse for logger (også kjent som varm eller interaktiv oppbevaring). | Kostnadseffektiv langsiktig oppbevaring av store datavolumer (også kjent som kald lagring). |
| Best for | Analyseregler i sanntid, varsling, jakt, arbeidsbøker og alle Microsoft Sentinel funksjoner. | - Samsvar og forskriftsmessig logging. - Historisk trendanalyse og rettsmedisin. – Lavtrykksdata som ikke er nødvendig for sanntidsvarsler. |
| Inntakskostnader | Standard | Minimal |
| Spørringspris inkludert | ✅ | ❌ |
| Optimalisert spørringsytelse | ✅ |
❌ Langsommere spørringer. Bra for revisjon. Ikke optimalisert for sanntidsanalyse. |
| Spørringsfunksjoner | Fullstendige spørringsfunksjoner i Microsoft Defender og Azure portaler og bruk av API-er. |
-
Fullstendige spørringsfunksjoner , inkludert fagforeninger og sammenføyninger. – Kjør planlagte KQL- eller Spark-jobber. - Bruk notatblokker. |
| Komplett sett med funksjoner for sanntidsanalyse | ✅ | ❌ Begrensninger på enkelte funksjoner, inkludert analyseregler, jaktspørringer, analyser, visningslister, arbeidsbøker og strategiplan. |
| Søkejobber | ✅ | ✅ |
| Sammendragsregler | ✅ | ✅ Fullstendig KQL på én enkelt tabell, som du kan utvide med data fra en analysetabell ved hjelp av oppslag |
| Gjenopprette | ✅ | ❌ KQL- og Notatblokk-jobber kan heve nivået for data til analysenivået. |
| Dataeksport | ✅ | ❌ |
| Oppbevaringsperioden | 90 dager for Microsoft Sentinel, 30 dager for Microsoft Defender XDR. Kan utvides til opptil to år til et fordelt månedlig langsiktig oppbevaringsgebyr. |
Samme som analyseoppbevaring, som standard. Kan utvides til opptil 12 år. |
Hva skjer når du endrer tabellinnstillinger
Du kan når som helst bytte lag- og oppbevaringsinnstillinger for en tabell.
Når du endrer en tabells lagvise standard xdr fra analyse til datasjø, slutter alle analyser og jaktspørringer i sanntid å fungere.
Når du forkorter en tabells totale oppbevaring, venter Microsoft 30 dager før du fjerner dataene, slik at du kan gjenopprette endringen og unngå tap av data hvis du har gjort en feil i konfigurasjonen.
Når du øker den totale oppbevaringen, gjelder den nye oppbevaringsperioden for alle data som allerede er inntatt i tabellen, og som ennå ikke er fjernet.
Når du endrer innstillingene for oppbevaring av analyser i en tabell med eksisterende data, trer endringen i kraft umiddelbart.
Eksempel:
- Du har en tabell i analysenivået med 180 dager med analyseoppbevaring. Som standard er den totale oppbevaringen også satt til 180 dager.
- Du endrer analyseoppbevaringen til 90 dager uten å endre den totale oppbevaringsperioden på 180 dager.
- Microsoft Sentinel fjerner automatisk de siste 90 dagene med data fra oppbevaring av analyser, men fortsetter å lagre data som er 90–180 dager i datasjøen.
Behandle XDR-data i Microsoft Sentinel
Som standard beholder Microsoft Defender XDR trusseljaktdata i XDR-standardnivået i 30 dager. Disse dataene tas ikke inn i analyse- eller datainnsjønivåene som standard. Hvis du forlenger oppbevaringsperioden for de støttede XDR-tabellene utover 30 og opptil 90 dager, gjelder Sentinel inntakskostnader, men det er ingen ekstra lagringskostnader. Tabellene opprettes i Microsoft Sentinel-arbeidsområdet i analysenivået og speilet til datasjøen.
Hvis du aktiverer Microsoft Sentinel XDR-koblingen i Azure Portal, blir tabellene du velger under konfigurasjonen, automatisk inntatt i analysenivået og speilet til datasjøen. Standard oppbevaring er 30 dager, og du kan utvide den opptil 12 år. Hvis du vil ha en liste over tabeller, kan du se Microsoft Defender XDR integrering med Microsoft Sentinel. Du kan ta inn støttede XDR-tabeller som du ikke valgte under distribusjon av koblinger til analysenivået, og speile dem til datasjønivået ved å angi oppbevaringen til mer enn 30 dager.
Hvis du ikke aktiverer Microsoft Sentinel XDR-kobling, blir ikke XDR-tabeller automatisk inntatt, men du kan fortsatt ta dem inn ved å angi oppbevaring av analyse- eller datasjønivå i mer enn 30 dager i Defender-portalen.
Du kan velge å ta inn støttede XDR-tabeller utelukkende i datasjøen ved å velge alternativet Data lake tier når du konfigurerer oppbevaringsinnstillingene. Hvis du vil ha mer informasjon, kan du se Konfigurere dataoppbevaring og lagdeling.
Stopp inntak av data i analysenivået ved å tilbakestille oppbevaringen av analysenivået og total oppbevaring til standard 30 dager. Denne handlingen deaktiverer koblingen i Azure Portal.
Hvis du vil ha mer informasjon om hvordan du administrerer tabeller og data, kan du se Administrere eksisterende tabeller og data.
XDR-dataoppbevaring og kostnader
Tabellene nedenfor oppsummerer gratis oppbevaringsperioder og kostnadsimplikasjoner for de ulike nivåene i Microsoft Sentinel:
| Tier | Oppbevaring | Merknader |
|---|---|---|
| Avansert jakt (standard) | 30 dager | Standard, inkludert i XDR-lisens |
| Analysenivå | 31–90 dager | Gratis lagringsplass for Sentinel-aktiverte arbeidsområder. Data speiler seg til datasjøen. Sentinel inntakskostnader påløpt. |
| Datasjø | Konfigurerbar. Som standard er det samme som analysenivået. | Gratis lagringsplass når total oppbevaring er den samme som oppbevaring av analysenivå. Å beholde data i datasjøen utover oppbevaringsperioden for analysenivået pådrar seg lagringskostnader for datasjøen. Inntak av data direkte til datasjøen, pådrar seg inntaks-, lagrings- og behandlingskostnader. |
Hvis du vil ha mer informasjon om fakturering og kostnader, kan du se Forstå den fullstendige faktureringsmodellen for Microsoft Sentinel
I eksemplene nedenfor er XDR-data tilgjengelig gjennom avansert jakt i minst 30 dager, uavhengig av oppbevaringsinnstillingene i analyse- eller datasjønivåene.
| Oppbevaring av analysenivå | Total oppbevaring | Kostnader for analysenivåinntak | Lagringskostnader for analysenivå | Kostnader for datainnsjønivå |
|---|---|---|---|---|
| Standard for 30 dager | Standard for 30 dager | Ingen ekstra kostnader | I/T | I/T |
| 90 dager | 90 dager | Kostnader gjelder for analysenivåinntak. | Ingen ekstra kostnader. 90 dager inkludert gratis. | Ingen ekstra kostnader. Total oppbevaring samsvarer med oppbevaring av analysenivå. |
| 90 dager | 180 dager | Kostnader gjelder for analysenivåinntak. | Ingen ekstra kostnader; 90 dager inkludert gratis. | Kostnader gjelder for 90 dager med ekstra oppbevaring av datasjøen (180–90 dager). |
| 180 dager | 1 år | Kostnader gjelder for analysenivåinntak. | Kostnader gjelder for 90 dager med ekstra oppbevaring av analysenivå. | Kostnader gjelder for 185 dager med ekstra oppbevaring av datasjøen (365– 180 dager). |
| 0 dager (bare datasjøen) | 5 år | I/T | I/T | Kostnader gjelder for inntak og for 5 års oppbevaring av datasjøen. |
Neste trinn
Mer informasjon om: