Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gegevens die u verzamelt in Microsoft Sentinel (SIEM) en Microsoft Defender XDR worden opgeslagen in tabellen. Met de Microsoft Defender portal kunt u de bewaarperiode en de opslagkosten voor uw gegevens beheren. U kunt retentie en kosten beheren wanneer u:
- Gegevensconnectors configureren om gegevens te verzenden naar Microsoft Sentinel of Microsoft Defender XDR.
- Uw bestaande tabellen en gegevens beheren.
In dit artikel wordt uitgelegd hoe u tabelretentie- en laagopties beheert in de Microsoft Defender-portal om beveiligingsbewerkingen te optimaliseren en de kosten in Microsoft Sentinel en Microsoft Defender XDR te verlagen.
Welke tabellen kunt u beheren in de Defender-portal?
In deze sectie worden de tabeltypen beschreven die u kunt beheren in de Microsoft Defender portal.
| Tabeltype | Beschrijving | Voorbeelden | Bevindt zich in Microsoft Sentinel werkruimte? |
|---|---|---|---|
| Microsoft Sentinel | Ingebouwde tabellen, waaronder: - Azure tabellen, zoals AzureDiagnostics en SigninLogs. - Microsoft Sentinel tabellen. - Microsoft Defender XDR integratie met Microsoft Sentinel, die worden gemaakt in uw Microsoft Sentinel werkruimte wanneer u de retentieperiode voor analyses verhoogt tot meer dan 30 dagen. Zie het tabeltype XDR voor Defender XDR tabellen die momenteel niet worden ondersteund. |
- Azure tabellen: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabellen: AWSCloudTrail,SecurityAlert- XDR-tabellen: DeviceEvents,AlertInfo |
Ja |
| Aangepast | Tabellen die u handmatig of via taken in uw Microsoft Sentinel werkruimte maakt, met inbegrip van overzichtsregel- en zoekresultatentabellen en aangepaste gegevensbrontabellen. | Tabellen met _CL of _SRCH achtervoegsels. |
Ja |
| XDR | Tabellen in de XDR-standaardlaag, die standaard 30 dagen aan analyseretentie hebben. U kunt deze tabellen bekijken, maar u kunt ze niet beheren vanuit de Defender-portal. | IdentityInfo |
Nee |
Opmerking
U kunt tabellen met basislogboeken in uw Microsoft Sentinel werkruimte bekijken vanuit de Defender-portal, maar u kunt ze momenteel alleen beheren vanuit uw Log Analytics-werkruimte. Als u deze tabellen wilt beheren vanuit de Defender-portal, wijzigt u het tabelplan van basis in analyse in uw Microsoft Sentinel werkruimte.
Hoe gegevenslagen en retentie werken
U kunt gegevens in Microsoft Sentinel in twee lagen bewaren:
Analyselaag: deze laag maakt gegevens beschikbaar voor waarschuwingen, opsporing, werkmappen en alle Microsoft Sentinel functies. Er worden gegevens in twee statussen bewaard:
- Retentie van analyse: In deze 'dynamische' status zijn gegevens volledig beschikbaar voor realtime analyses ( inclusief query's met hoge prestaties en analyseregels ) en opsporing van bedreigingen. Standaard bewaren Microsoft Sentinel en Microsoft Defender XDR gegevens in deze laag gedurende 30 dagen. U kunt de retentieperiode van alle tabellen verlengen tot maximaal twee jaar tegen een pro rato maandelijkse langetermijnretentiekosten. U kunt de bewaarperiode van Microsoft Sentinel oplossingstabellen gratis verlengen tot 90 dagen.
- Totale retentie: standaard worden alle gegevens in de analyselaag gespiegeld aan de Data Lake voor dezelfde bewaarperiode. U kunt de retentie van uw gegevens in het meer uitbreiden tot buiten de analytische retentie, voor maximaal 12 jaar totale retentie tegen lage kosten.
Data Lake-laag: In deze goedkope 'koude' laag bewaart Microsoft Sentinel uw gegevens alleen in het lake. Gegevens in de data lake-laag zijn niet beschikbaar voor realtime analysefuncties en opsporing van bedreigingen. U hebt echter toegang tot gegevens in het lake wanneer u deze nodig hebt via KQL-taken, trends in de loop van de tijd analyseren door geplande KQL- of Spark-taken uit te voeren en inzichten van binnenkomende gegevens regelmatig te aggregeren met behulp van samenvattingsregels.
XDR-gegevens: standaard zijn Microsoft Defender XDR gegevens voor het opsporen van bedreigingen altijd gedurende 30 dagen beschikbaar in de analyselaag. U kunt de retentie van deze gegevens in de analyselaag verlengen tot 90 dagen, wat opnamekosten met zich meebrengt, maar de opslag is gratis. Voor het verlengen van meer dan 90 dagen in de analyse worden ook opslagkosten in rekening gebracht. U kunt ook uitsluitend opnemen in de data lake-laag, maar de gegevens zijn altijd gedurende 30 dagen beschikbaar in de analyselaag. Het rechtstreeks opnemen van XDR-gegevens in de data lake-laag is rendabeler, maar omvat opname-, opslag- en verwerkingskosten. In deze optie krijgen klanten nog steeds 30 dagen aan gegevens in de Analytics-laag zonder extra kosten.
Zie De analyse- en data lake-lagen vergelijken voor meer informatie over de verschillen tussen deze twee bewaartypen.
In dit diagram ziet u de retentieonderdelen van de standaardlagen Analytics, Data Lake en XDR, en welke tabeltypen van toepassing zijn op elke laag:
Zie Wat is Microsoft Sentinel data lake voor meer informatie over de Microsoft Sentinel data lake.
De analyse- en Data Lake-lagen vergelijken
In deze tabel worden de twee analyse- en Data Lake-lagen en hun belangrijkste kenmerken vergeleken:
| Vergelijking | Analyselaag | Data Lake-laag |
|---|---|---|
| Belangrijkste kenmerken | High-performance query's en indexering voor logboeken (ook wel bekend als dynamische of interactieve retentie). | Rendabele langetermijnretentie van grote gegevensvolumes (ook wel koude opslag genoemd). |
| Geschikt voor | Realtime analyseregels, waarschuwingen, opsporing, werkmappen en alle Microsoft Sentinel functies. | - Naleving en logboekregistratie van regelgeving. - Historische trendanalyse en forensisch onderzoek. - Weinig aanraakgevoelige gegevens die niet nodig zijn voor realtime waarschuwingen. |
| Opnamekosten | Standaard | Minimale |
| Queryprijs inbegrepen | ✅ | ❌ |
| Geoptimaliseerde queryprestaties | ✅ |
❌ Tragere query's. Goed voor controle. Niet geoptimaliseerd voor realtime-analyse. |
| Querymogelijkheden | Volledige querymogelijkheden in de Microsoft Defender en Azure portals en met behulp van API's. |
-
Volledige querymogelijkheden , inclusief samenvoegingen en joins. - Geplande KQL- of Spark-taken uitvoeren. - Notitieblokken gebruiken. |
| Volledige set realtime analysefuncties | ✅ | ❌ Beperkingen voor sommige functies, waaronder analyseregels, opsporingsquery's, parsers, watchlists, werkmappen en playbooks. |
| Zoektaken | ✅ | ✅ |
| Overzichtsregels | ✅ | ✅ Volledige KQL op één tabel, die u kunt uitbreiden met gegevens uit een analysetabel met behulp van opzoeken |
| Herstellen | ✅ | ❌ KQL- en Notebook-taken kunnen gegevens promoveren naar de analyselaag. |
| Gegevens exporteren | ✅ | ❌ |
| Bewaarperiode | 90 dagen voor Microsoft Sentinel, 30 dagen voor Microsoft Defender XDR. Kan worden verlengd tot maximaal twee jaar tegen pro rato maandelijkse langetermijnretentiekosten. |
Hetzelfde als retentie van analyses, standaard. Kan worden verlengd tot maximaal 12 jaar. |
Wat gebeurt er wanneer u tabelinstellingen wijzigt
U kunt de laag- en bewaarinstellingen van een tabel op elk gewenst moment wijzigen.
Wanneer u de tierby-standaard xdr van een tabel wijzigt van Analytics in Data Lake, werken alle realtime analyse- en opsporingsquery's niet meer.
Wanneer u de totale retentie van een tabel verkort, wacht Microsoft 30 dagen voordat de gegevens worden verwijderd, zodat u de wijziging kunt herstellen en gegevensverlies kunt voorkomen als u een fout hebt gemaakt in de configuratie.
Wanneer u de totale retentie verhoogt, is de nieuwe bewaarperiode van toepassing op alle gegevens die al in de tabel zijn opgenomen en nog niet zijn verwijderd.
Wanneer u de instellingen voor analytische retentie van een tabel met bestaande gegevens wijzigt, wordt de wijziging onmiddellijk van kracht.
Voorbeeld:
- U hebt een tabel in de analyselaag met 180 dagen aan analytische retentie. Standaard is de totale retentie ook ingesteld op 180 dagen.
- U wijzigt de retentie van de analyse in 90 dagen zonder de totale bewaarperiode van 180 dagen te wijzigen.
- Microsoft Sentinel verwijdert automatisch de laatste 90 dagen aan gegevens uit de analytische retentie, maar blijft gegevens opslaan die 90-180 dagen duren in de Data Lake.
XDR-gegevens beheren in Microsoft Sentinel
Standaard bewaart Microsoft Defender XDR gegevens over het opsporen van bedreigingen in de XDR-standaardlaag gedurende 30 dagen. Deze gegevens worden niet standaard opgenomen in de analyse- of Data Lake-lagen. Als u de bewaarperiode van de ondersteunde XDR-tabellen verlengt tot 30 en maximaal 90 dagen, zijn Sentinel opnamekosten van toepassing, maar zijn er geen extra opslagkosten. De tabellen worden gemaakt in uw Microsoft Sentinel werkruimte in de analyselaag en gespiegeld naar de Data Lake-laag.
Als u de Microsoft Sentinel XDR-connector inschakelt in de Azure Portal, worden de tabellen die u tijdens de installatie selecteert, automatisch opgenomen in de analyselaag en gespiegeld naar de data lake-laag. De standaardretentie is 30 dagen en u kunt deze verlengen tot 12 jaar. Zie integratie met Microsoft Defender XDR met Microsoft Sentinel voor een lijst met tabellen. U kunt ondersteunde XDR-tabellen opnemen die u niet hebt geselecteerd tijdens de implementatie van de connector in de analyselaag en deze spiegelen naar de Data Lake-laag door de retentie in te stellen op meer dan 30 dagen.
Als u de Microsoft Sentinel XDR-connector niet inschakelt, worden XDR-tabellen niet automatisch opgenomen, maar kunt u ze nog steeds opnemen door in de Defender-portal retentie van analyses of data lake-lagen in te stellen voor meer dan 30 dagen.
U kunt ervoor kiezen om ondersteunde XDR-tabellen uitsluitend op te nemen in de data lake-laag door de optie Data Lake-laag te selecteren bij het configureren van de bewaarinstellingen. Zie Gegevensretentie en lagen configureren voor meer informatie.
Stop met het opnemen van gegevens in de analyselaag door de retentie van de analyselaag en de totale retentie in te zetten op de standaardwaarde van 30 dagen. Met deze actie wordt de connector in de Azure Portal uitgeschakeld.
Zie Uw bestaande tabellen en gegevens beheren voor meer informatie over het beheren van uw tabellen en gegevens.
XDR-gegevensretentie en -kosten
De volgende tabellen bevatten een overzicht van de gratis bewaarperioden en de gevolgen voor de kosten voor de verschillende lagen in Microsoft Sentinel:
| Tier | Retentie | Opmerkingen |
|---|---|---|
| Geavanceerde opsporing (standaard) | 30 dagen | Standaard, opgenomen in XDR-licentie |
| Analyselaag | 31-90 dagen | Gratis opslag voor werkruimten met Sentinel ingeschakeld. Gegevens worden gespiegeld naar het data lake. Sentinel opnamekosten zijn van toepassing. |
| Data Lake | Configureerbare. Standaard hetzelfde als de analyselaag. | Gratis opslag wanneer de totale retentie hetzelfde is als de retentie van de analyselaag. Voor het bewaren van gegevens in de data lake na de retentieperiode van de analyselaag worden data lake-opslagkosten in rekening gebracht. Als u gegevens rechtstreeks naar de data lake-laag opneemt, worden kosten voor opname, opslag en verwerking in rekening gebracht. |
Zie Het volledige factureringsmodel voor Microsoft Sentinel voor meer informatie over facturering en kosten.
In de volgende voorbeelden zijn XDR-gegevens gedurende ten minste 30 dagen beschikbaar via geavanceerde opsporing, ongeacht de bewaarinstellingen in de analytics- of Data Lake-lagen.
| Retentie van analyselaag | Totale retentie | Opnamekosten voor analyselagen | Opslagkosten van de analyselaag | Kosten van Data Lake-laag |
|---|---|---|---|---|
| Standaard 30 dagen | Standaard 30 dagen | Geen extra kosten | N.v.t. | N.v.t. |
| 90 dagen | 90 dagen | Er zijn kosten van toepassing voor opname in de analyselaag. | Geen extra kosten. 90 dagen gratis inbegrepen. | Geen extra kosten. De totale retentie komt overeen met de retentie van de analyselaag. |
| 90 dagen | 180 dagen | Er zijn kosten van toepassing voor opname in de analyselaag. | Geen extra kosten; 90 dagen gratis inbegrepen. | Kosten zijn van toepassing voor 90 dagen extra data lake-retentie (180 - 90 dagen). |
| 180 dagen | 1 jaar | Er zijn kosten van toepassing voor opname in de analyselaag. | Kosten zijn van toepassing voor 90 dagen extra retentie van de analyselaag. | Kosten zijn van toepassing voor 185 dagen extra data lake-retentie (365 - 180 dagen). |
| 0 dagen (alleen data lake) | 5 jaar | N.v.t. | N.v.t. | Kosten zijn van toepassing voor opname en voor 5 jaar data lake-retentie. |
Volgende stappen
Meer informatie over: