Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Data som du samlar in i Microsoft Sentinel (SIEM) och Microsoft Defender XDR lagras i tabeller. Med Microsoft Defender-portalen kan du hantera kvarhållningsperioden och lagringskostnaderna som är kopplade till dina data. Du kan hantera kvarhållning och kostnader när du:
- Konfigurera dataanslutningar för att skicka data till Microsoft Sentinel eller Microsoft Defender XDR.
- Hantera dina befintliga tabeller och data.
Den här artikeln beskriver hur du hanterar alternativ för kvarhållning av tabeller och nivåer i Microsoft Defender-portalen för att optimera säkerhetsåtgärder och minska kostnaderna i Microsoft Sentinel och Microsoft Defender XDR.
Vilka tabeller kan du hantera i Defender-portalen?
I det här avsnittet beskrivs de tabelltyper som du kan hantera i Microsoft Defender-portalen.
| Tabelltyp | Beskrivning | Exempel | Finns det i Microsoft Sentinel arbetsyta? |
|---|---|---|---|
| Microsoft Sentinel | Inbyggda tabeller, inklusive: – Azure tabeller, till exempel AzureDiagnostics och SigninLogs. - Microsoft Sentinel tabeller. - Microsoft Defender XDR integrering med Microsoft Sentinel, som skapas på din Microsoft Sentinel arbetsyta när du ökar kvarhållningsperioden för analys efter 30 dagar. Se XDR-tabelltypen för Defender XDR tabeller som för närvarande inte stöds. |
- Azure tabeller: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabeller: AWSCloudTrail,SecurityAlert– XDR-tabeller: DeviceEvents,AlertInfo |
Ja |
| Anpassat | Tabeller som du skapar manuellt eller via jobb i din Microsoft Sentinel arbetsyta, inklusive sammanfattningsregel- och sökresultattabeller och anpassade datakällatabeller. | Tabeller med _CL eller _SRCH suffix. |
Ja |
| XDR | Tabeller på standardnivån XDR, som har 30 dagars kvarhållning av analys som standard. Du kan visa dessa tabeller, men du kan inte hantera dem från Defender-portalen. | IdentityInfo |
Nej |
Obs!
Du kan visa grundläggande loggtabeller i din Microsoft Sentinel arbetsyta från Defender-portalen, men du kan bara hantera dem från Log Analytics-arbetsytan för närvarande. Om du vill hantera dessa tabeller från Defender-portalen ändrar du tabellplanen från grundläggande till analys i din Microsoft Sentinel arbetsyta.
Så här fungerar datanivåer och kvarhållning
Du kan behålla data i Microsoft Sentinel på någon av två nivåer:
Analysnivå: Den här nivån gör data tillgängliga för aviseringar, jakt, arbetsböcker och alla Microsoft Sentinel funktioner. Den behåller data i två tillstånd:
- Kvarhållning av analys: I det här "heta" tillståndet är data fullt tillgängliga för realtidsanalys – inklusive frågor med höga prestanda och analysregler – och hotjakt. Som standard behåller Microsoft Sentinel och Microsoft Defender XDR data på den här nivån i 30 dagar. Du kan utöka kvarhållningsperioden för alla tabeller till upp till två år med en proportionell månatlig långsiktig kvarhållningsavgift. Du kan utöka kvarhållningsperioden för Microsoft Sentinel lösningstabeller till 90 dagar utan kostnad.
- Total kvarhållning: Som standard speglas alla data på analysnivån till datasjön under samma kvarhållningsperiod. Du kan utöka kvarhållningen av dina data i sjön utöver analyskvarhållningen i upp till 12 års total kvarhållning till en låg kostnad.
Datasjönivå: På den här lågkostnadsnivån "kall" behåller Microsoft Sentinel endast dina data i sjön. Data på datasjönivån är inte tillgängliga för realtidsanalysfunktioner och hotjakt. Du kan dock komma åt data i sjön när du behöver dem via KQL-jobb, analysera trender över tid genom att köra schemalagda KQL- eller Spark-jobb och aggregera insikter från inkommande data med jämna mellanrum med hjälp av sammanfattningsregler.
XDR-data: Som standard är Microsoft Defender XDR hotjaktdata alltid tillgängliga på analysnivån i 30 dagar. Du kan utöka kvarhållningen av dessa data på analysnivån upp till 90 dagar, vilket skulle medföra inmatningskostnader, men lagringsutrymmet är kostnadsfritt. Om du utökar mer än 90 dagar i analysen medför det även lagringskostnader. Du kan också mata in exklusivt på datasjönivån, men data är alltid tillgängliga på analysnivå i 30 dagar. Det är mer kostnadseffektivt att mata in XDR-data direkt på datasjönivån, men det innebär kostnader för inmatning, lagring och bearbetning. I det här alternativet får kunderna fortfarande 30 dagars data på Analytics-nivån utan extra kostnad.
Mer information om skillnaderna mellan dessa två kvarhållningstyper finns i Jämför analys- och datasjönivåerna.
Det här diagrammet visar kvarhållningskomponenterna för standardnivåerna analys, datasjö och XDR och vilka tabelltyper som gäller för varje nivå:
Mer information om Microsoft Sentinel datasjö finns i Vad är Microsoft Sentinel datasjö.
Jämföra analys- och datasjönivåerna
I den här tabellen jämförs de två analys- och datasjönivåerna och deras viktigaste egenskaper:
| Jämförelse | Analysnivå | Datasjönivå |
|---|---|---|
| Viktiga egenskaper | Högpresterande frågor och indexering för loggar (kallas även frekvent eller interaktiv kvarhållning). | Kostnadseffektiv långsiktig kvarhållning av stora datavolymer (kallas även kall lagring). |
| Bäst för | Realtidsanalysregler, aviseringar, jakt, arbetsböcker och alla Microsoft Sentinel funktioner. | – Efterlevnad och regelloggning. - Historisk trendanalys och kriminalteknik. – Data med låg peknivå som inte behövs för realtidsaviseringar. |
| Inmatningskostnad | Standard | Minimal |
| Frågepris ingår | ✅ | ❌ |
| Optimerad frågeprestanda | ✅ |
❌ Långsammare frågor. Bra för granskning. Inte optimerad för realtidsanalys. |
| Frågefunktioner | Fullständiga frågefunktioner i Microsoft Defender- och Azure-portaler och med hjälp av API:er. |
-
Fullständiga frågefunktioner , inklusive fackföreningar och kopplingar. – Kör schemalagda KQL- eller Spark-jobb. – Använd notebook-filer. |
| Fullständig uppsättning realtidsanalysfunktioner | ✅ | ❌ Begränsningar för vissa funktioner, inklusive analysregler, jaktfrågor, parsare, visningslistor, arbetsböcker och spelböcker. |
| Sök jobb | ✅ | ✅ |
| Sammanfattningsregler | ✅ | ✅ Fullständig KQL för en enskild tabell, som du kan utöka med data från en analystabell med hjälp av uppslag |
| Återställ | ✅ | ❌ KQL- och Notebook-jobb kan höja upp data till analysnivån. |
| Dataexport | ✅ | ❌ |
| Djurhållningsperioden | 90 dagar i Microsoft Sentinel, 30 dagar för Microsoft Defender XDR. Kan utökas till upp till två år med en proportionell månatlig långsiktig kvarhållningsavgift. |
Samma som kvarhållning av analys, som standard. Kan förlängas till upp till 12 år. |
Vad händer när du ändrar tabellinställningarna
Du kan växla nivå- och kvarhållningsinställningar för en tabell när som helst.
När du ändrar en tabells nivå som standard xdr från analys till datasjö slutar alla realtidsanalys- och jaktfrågor att fungera.
När du förkortar en tabells totala kvarhållning väntar Microsoft 30 dagar innan du tar bort data, så att du kan återställa ändringen och undvika dataförlust om du har gjort ett fel i konfigurationen.
När du ökar den totala kvarhållningen gäller den nya kvarhållningsperioden för alla data som redan har matats in i tabellen och som ännu inte har tagits bort.
När du ändrar kvarhållningsinställningarna för analys för en tabell med befintliga data börjar ändringen gälla omedelbart.
Exempel:
- Du har en tabell på analysnivån med 180 dagars kvarhållning av analys. Som standard är den totala kvarhållningen också inställd på 180 dagar.
- Du ändrar analyskvarhållningen till 90 dagar utan att ändra den totala kvarhållningsperioden på 180 dagar.
- Microsoft Sentinel tar automatiskt bort de senaste 90 dagarnas data från analyskvarhållning, men fortsätter att lagra data som är 90–180 dagar i datasjön.
Hantera XDR-data i Microsoft Sentinel
Som standard behåller Microsoft Defender XDR hotjaktdata på XDR-standardnivån i 30 dagar. Dessa data matas inte in i analys- eller datasjönivåerna som standard. Om du förlänger kvarhållningsperioden för de XDR-tabeller som stöds mer än 30 och upp till 90 dagar gäller Sentinel inmatningskostnader, men det finns inga ytterligare lagringskostnader. Tabellerna skapas i din Microsoft Sentinel arbetsyta på analysnivån och speglas till datasjönivån.
Om du aktiverar Microsoft Sentinel XDR-anslutningsappen i Azure Portal matas de tabeller som du väljer under installationen automatiskt in på analysnivån och speglas till datasjönivån. Standardkvarhållningen är 30 dagar och du kan utöka den till upp till 12 år. En lista över tabeller finns i Microsoft Defender XDR integrering med Microsoft Sentinel. Du kan mata in XDR-tabeller som stöds som du inte valde under distributionen av anslutningsappen till analysnivån och spegla dem till datasjönivån genom att ange kvarhållningen till mer än 30 dagar.
Om du inte aktiverar Microsoft Sentinel XDR-anslutningsappen matas inte XDR-tabeller in automatiskt, men du kan fortfarande mata in dem genom att ange kvarhållning på analys- eller datasjönivå i mer än 30 dagar i Defender-portalen.
Du kan välja att mata in XDR-tabeller som stöds exklusivt på datasjönivån genom att välja alternativet Data lake tier när du konfigurerar kvarhållningsinställningarna. Mer information finns i Konfigurera datakvarhållning och nivåindelning.
Sluta mata in data på analysnivån genom att återställa kvarhållningen av analysnivån och den totala kvarhållningen till standardvärdet 30 dagar. Den här åtgärden inaktiverar anslutningsappen i Azure Portal.
Mer information om hur du hanterar tabeller och data finns i Hantera dina befintliga tabeller och data.
XDR-datakvarhållning och kostnader
I följande tabeller sammanfattas de kostnadsfria kvarhållningsperioderna och kostnadskonsekvenserna för de olika nivåerna i Microsoft Sentinel:
| Nivå | Kvarhållning | Kommentar |
|---|---|---|
| Avancerad jakt (standard) | 30 dagar | Standard, ingår i XDR-licensen |
| Analysnivå | 31–90 dagar | Kostnadsfri lagring för Sentinel-aktiverade arbetsytor. Data speglas i datasjön. Sentinel inmatningsavgifter tillkommer. |
| Datasjö | Konfigurerbara. Som standard samma som analysnivån. | Kostnadsfri lagring när den totala kvarhållningen är samma som kvarhållning på analysnivå. Att behålla data i datasjön utöver kvarhållningsperioden på analysnivå medför kostnader för datasjölagring. Inmatning av data direkt till datasjönivån medför kostnader för inmatning, lagring och bearbetning. |
Mer information om fakturering och kostnader finns i Förstå den fullständiga faktureringsmodellen för Microsoft Sentinel
I följande exempel är XDR-data tillgängliga via avancerad jakt i minst 30 dagar, oavsett kvarhållningsinställningarna på analys- eller datasjönivåerna.
| Kvarhållning på analysnivå | Total kvarhållning | Kostnader för inmatning på analysnivå | Lagringskostnader på analysnivå | Kostnader för datasjönivå |
|---|---|---|---|---|
| 30 dagars standard | 30 dagars standard | Inga ytterligare kostnader | EJ TILLÄMPLIGT | EJ TILLÄMPLIGT |
| 90 dagar | 90 dagar | Kostnader gäller för inmatning på analysnivå. | Inga ytterligare kostnader. 90 dagar ingår gratis. | Inga ytterligare kostnader. Total kvarhållning matchar kvarhållning på analysnivå. |
| 90 dagar | 180 dagar | Kostnader gäller för inmatning på analysnivå. | Inga ytterligare kostnader; 90 dagar ingår gratis. | Kostnader gäller för 90 dagars ytterligare datasjökvarhållning (180–90 dagar). |
| 180 dagar | 1 år | Kostnader gäller för inmatning på analysnivå. | Kostnader gäller för ytterligare kvarhållning på analysnivå i 90 dagar. | Kostnaderna gäller för 185 dagars ytterligare datasjökvarhållning (365–180 dagar). |
| 0 dagar (endast datasjö) | 5 år | EJ TILLÄMPLIGT | EJ TILLÄMPLIGT | Kostnader gäller för inmatning och för 5 års datasjökvarhållning. |
Nästa steg
Läs mer om: