你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel (SIEM) 和Microsoft Defender XDR收集的数据存储在表中。 Microsoft Defender门户允许你管理与数据关联的保留期和存储成本。 在以下情况下,可以管理保留期和成本:
本文介绍如何在Microsoft Defender门户中管理表保留和层选项,以优化安全操作并降低Microsoft Sentinel和Microsoft Defender XDR成本。
可以在 Defender 门户中管理哪些表?
本部分介绍可在Microsoft Defender门户中管理的表类型。
| 表类型 | 说明 | 示例 | 是否在Microsoft Sentinel工作区中? |
|---|---|---|---|
| Microsoft Sentinel | 内置表,包括: - Azure表,例如 AzureDiagnostics 和 SigninLogs。 - Microsoft Sentinel表。 - Microsoft Defender XDR与 Microsoft Sentinel 集成,在将分析保留期延长到 30 天之后时,Microsoft Sentinel工作区中创建。 有关当前不支持的Defender XDR表,请参阅 XDR 表类型。 |
- Azure表:AzureDiagnostics、SigninLogs- Microsoft Sentinel表: AWSCloudTrail、SecurityAlert- XDR 表: DeviceEvents、AlertInfo |
是 |
| 自定义 | 手动或通过Microsoft Sentinel工作区中的作业创建的表,包括摘要规则和搜索作业结果表,以及自定义数据源表。 | 带有 _CL 或 _SRCH 后缀的表。 |
是 |
| Xdr | XDR 默认层中的表,默认情况下分析保留期为 30 天。 可以查看这些表,但无法从 Defender 门户管理它们。 | IdentityInfo |
否 |
注意
可以从 Defender 门户查看 Microsoft Sentinel 工作区中的基本日志表,但当前只能从 Log Analytics 工作区对其进行管理。 若要从 Defender 门户管理这些表,请在Microsoft Sentinel工作区中将表计划从“基本”更改为“分析”。
数据层和保留的工作原理
可以在以下两个层之一Microsoft Sentinel中保留数据:
分析层:此层使数据可用于警报、搜寻、工作簿和所有Microsoft Sentinel功能。 它将数据保留为两种状态:
- 分析保留期:在这种“热”状态下,数据完全可用于实时分析(包括高性能查询和分析规则)以及威胁搜寻。 默认情况下,Microsoft Sentinel和Microsoft Defender XDR将此层中的数据保留 30 天。 可以按比例计算每月长期保留费用,将所有表的保留期延长至最多两年。 可以将Microsoft Sentinel解决方案表的保留期免费延长到 90 天。
- 总保留期:默认情况下,分析层中的所有数据都在同一保留期内镜像到数据湖。 可以将数据在湖中的保留期扩展到分析保留期之外,以低成本实现长达 12 年的总保留期。
数据湖层:在此低成本“冷”层中,Microsoft Sentinel仅将数据保留在湖中。 数据湖层中的数据不可用于实时分析功能和威胁搜寻。 但是,你可以在需要时通过 KQL 作业访问湖中的数据,通过运行计划的 KQL 或 Spark 作业来分析一段时间内的趋势,并使用摘要规则以常规节奏聚合来自传入数据的见解。
XDR 数据:默认情况下,Microsoft Defender XDR威胁搜寻数据在分析层中始终可用 30 天。 可以将分析层中此数据的保留期延长至 90 天,这会产生引入成本,但存储是免费的。 在分析中超过 90 天,也会产生存储成本。 还可以专门引入数据湖层,但数据在分析层中始终可用 30 天。 将 XDR 数据直接引入到数据湖层更具成本效益,但涉及引入、存储和处理成本。 在此选项中,客户仍可在分析层中获取价值 30 天的数据,无需额外付费。
有关这两种保留类型之间的差异的详细信息,请参阅 比较分析和数据湖层。
此图显示了分析层、数据湖层和 XDR 默认层的保留组件,以及适用于每个层的表类型:
有关Microsoft Sentinel数据湖的详细信息,请参阅什么是数据湖Microsoft Sentinel。
比较分析和数据湖层
下表比较了两个分析和数据湖层及其关键特征:
| 比较 | 分析层 | Data Lake 层 |
|---|---|---|
| 主要特征 | 日志的高性能查询和索引 (也称为热保留或交互式保留) 。 | 以经济高效的方式长期保留大型数据卷 (也称为冷存储) 。 |
| 最适合 | 实时分析规则、警报、搜寻、工作簿和所有Microsoft Sentinel功能。 | - 合规性和法规日志记录。 - 历史趋势分析和取证。 - 实时警报不需要的低接触数据。 |
| 引入成本 | 标准 | 最小 |
| 包含查询价格 | ✅ | ❌ |
| 优化查询性能 | ✅ |
❌ 查询速度较慢。 适用于审核。 未针对实时分析进行优化。 |
| 查询功能 | Microsoft Defender和Azure门户中以及使用 API 的完整查询功能。 |
-
完整的查询功能 ,包括联合和联接。 - 运行计划的 KQL 或 Spark 作业。 - 使用笔记本。 |
| 完整的实时分析功能集 | ✅ | ❌ 对某些功能(包括分析规则、搜寻查询、分析程序、监视列表、工作簿和 playbook)的限制。 |
| 搜索作业 | ✅ | ✅ |
| 摘要规则 | ✅ | ✅ 单个表上的完整 KQL,可以使用查找通过分析表中的数据进行扩展 |
| 还原 | ✅ | ❌ KQL 和 Notebook 作业可以将数据提升到分析层。 |
| 数据导出 | ✅ | ❌ |
| 保留期 | Microsoft Sentinel 90 天,Microsoft Defender XDR 30 天。 可以按比例按比例计算的每月长期保留费用延长至两年。 |
默认情况下,与分析保留期相同。 可延长至 12 年。 |
修改表设置时会发生什么情况
可以随时切换表的层和保留设置。
将表的默认层 xdr 从分析更改为数据湖时,所有实时分析和搜寻查询将停止工作。
缩短表的总保留期时,Microsoft在删除数据之前等待 30 天,这样就可以还原更改,并在配置中出错时避免数据丢失。
增加总保留期时,新的保留期将应用于已引入表且尚未删除的所有数据。
更改包含现有数据的表的分析保留设置时,更改将立即生效。
示例:
- 分析层中有一个表,其分析保留期为 180 天。 默认情况下,“总保留期”也设置为 180 天。
- 将分析保留期更改为 90 天,而不更改总保留期 180 天。
- Microsoft Sentinel会自动从分析保留期中删除过去 90 天的数据,但将继续在数据湖中存储 90-180 天的数据。
在 Microsoft Sentinel 中管理 XDR 数据
默认情况下,Microsoft Defender XDR在 XDR 默认层中将威胁搜寻数据保留 30 天。 默认情况下,此数据不会引入分析层或数据湖层。 如果将支持的 XDR 表的保留期延长到 30 天,最多 90 天,则Sentinel引入成本,但不会产生额外的存储成本。 表在分析层的 Microsoft Sentinel 工作区中创建,并镜像到数据湖层。
如果在 Azure 门户 中启用 Microsoft Sentinel XDR 连接器,则设置期间选择的表将自动引入分析层并镜像到数据湖层。 默认保留期为 30 天,可将其延长至 12 年。 有关表的列表,请参阅Microsoft Defender XDR与Microsoft Sentinel集成。 可以将连接器部署期间未选择的受支持 XDR 表引入分析层,并通过将保留期设置为 30 天以上将其镜像到数据湖层。
如果未启用 Microsoft Sentinel XDR 连接器,则 XDR 表不会自动引入,但你仍可以通过在 Defender 门户中设置分析或数据湖层保留期超过 30 天来引入它们。
可以通过在配置保留设置时选择“数据湖层”选项,选择将受支持的 XDR 表专门引入到 数据湖层 。 有关详细信息,请参阅 配置数据保留和分层。
通过将分析层保留期和总保留期重置为默认 30 天,停止将数据引入分析层。 此操作禁用Azure 门户中的连接器。
有关管理表和数据的详细信息,请参阅 管理现有表和数据。
XDR 数据保留和成本
下表汇总了 Microsoft Sentinel 中不同层的免费保留期和成本影响:
| 层 | 保留 | 注释 |
|---|---|---|
| 高级搜寻 (默认) | 30 天 | 默认,包含在 XDR 许可证中 |
| 分析层 | 31-90 天 | 支持Sentinel的工作区的免费存储。 数据镜像到数据湖。 Sentinel引入费用。 |
| Data Lake | 配置。 默认情况下,与分析层相同。 | 当总保留期与分析层保留期相同时,免费存储。 在分析层保留期之后保留数据湖中的数据会产生数据湖存储成本。 将数据直接引入到数据湖层会产生引入、存储和处理成本。 |
有关计费和成本的详细信息,请参阅了解Microsoft Sentinel的完整计费模型
在以下示例中,无论分析层或数据湖层中的保留设置如何,XDR 数据都可以通过高级搜寻获取至少 30 天。
| 分析层保留期 | 总保留期 | 分析层引入成本 | 分析层存储成本 | 数据湖层成本 |
|---|---|---|---|---|
| 默认值为 30 天 | 默认值为 30 天 | 无额外费用 | 不适用 | 不适用 |
| 90 天 | 90 天 | 成本适用于分析层引入。 | 无额外费用。 90 天免费。 | 无额外费用。 总保留期与分析层保留期匹配。 |
| 90 天 | 180 天 | 成本适用于分析层引入。 | 无额外费用;90 天免费。 | ) 180- 90 天, (90 天的额外数据湖保留费用。 |
| 180 天 | 1 年 | 成本适用于分析层引入。 | 成本适用于 90 天的额外分析层保留期。 | ) 365 - 180 天 (185 天的额外数据湖保留费用。 |
| 仅 0 天 (data Lake) | 5 年 | 不适用 | 不适用 | 引入和数据湖保留期为 5 年的费用。 |
后续步骤
详细了解以下信息: