跨 ioT Microsoft Defender的数据保留和共享 - Microsoft Defender for IoT

Microsoft Defender for IoT 将数据存储在 OT 网络传感器Microsoft Azure 门户中。

每种存储类型都有不同的存储容量选项和保留时间。 本文介绍删除或覆盖之前，数据量和数据存储在每种存储类型中的时间长度的数据保留策略。

我们正在收集哪些内容？

Defender for IoT 从配置的设备收集信息，并将其存储在特定于服务的、客户专用的和隔离的租户中。 存储的数据用于管理、跟踪和报告目的。

收集的信息包括网络连接数据 (IP 和端口) ，以及设备详细信息 (设备标识符、名称、操作系统版本、固件版本) 。 Defender for IoT 根据Microsoft隐私做法和 Microsoft信任中心策略安全地存储此数据。

此数据使 Defender for IoT 能够：

主动识别组织中 (IOA) 攻击指标。

如果检测到可能的攻击，则生成警报。

为安全团队提供与网络威胁信号相关的设备和地址的视图，使你能够调查和探索可能的网络安全威胁。

Microsoft不会将你的数据用于广告。

数据位置

Defender for IoT 使用欧盟和美国中的Microsoft Azure数据中心。 服务收集的客户数据可能存储在以下两个地理位置之一：

预配期间标识的租户的地理位置。

由联机服务的数据存储规则定义的地理位置，Defender for IoT 使用它来处理其数据。

数据保留

只要客户处于活动状态，或合同结束后 90 天，Defender for IoT 中的数据都将保留。 在此期间，数据在门户中的其他服务中可见。

当许可证处于宽限期或处于挂起模式时，你的数据将保留并可用。 在此时间段结束后的 90 天后，你的数据将从Microsoft的系统中擦除，使其无法恢复。

设备数据保留期

下表列出了设备数据存储在每种 Defender for IoT 存储类型中的时长。

存储类型

详细信息

Azure 门户

自 上次活动 值日期起 90 天。 有关详细信息，请参阅从Azure 门户管理设备清单。

OT 网络传感器

自 上次活动 值日期起 90 天。 有关详细信息，请参阅 从传感器控制台管理 OT 设备清单。

警报数据保留期

下表列出了每种 Defender for IoT 存储类型中警报数据的存储时间。 无论警报的状态，还是已了解或静音，警报数据都按列表存储。

存储类型

详细信息

Azure 门户

自 “第一个检测 ”值中的日期起 90 天。 有关详细信息，请参阅查看和管理Azure 门户中的警报。

OT 网络传感器

自 “第一个检测 ”值中的日期起 90 天。 有关详细信息，请参阅 查看传感器上的警报。

OT 警报 PCAP 数据保留

下表列出了每种 Defender for IoT 存储类型中 PCAP 数据的存储时间。

存储类型

详细信息

Azure 门户

只要 OT 网络传感器存储 PCAP 文件，即可从Azure 门户下载。 下载后，文件将缓存Azure 门户 48 小时。 有关详细信息，请参阅 访问警报 PCAP 数据。

OT 网络传感器

取决于为 PCAP 文件分配的传感器存储容量，后者决定了其 硬件配置文件：

-

C5600：130 GB

-

E1800：130 GB

-

E1000 ：78 GB

-

E500：78 GB

-

L500：7 GB

-

L100：2.5 GB 如果传感器超过其最大存储容量，则会删除最早的 PCAP 文件以容纳新的 PCAP 文件。 有关详细信息，请参阅访问警报 PCAP 数据和用于 OT 监视的预配置物理设备。

可用 PCAP 存储空间的使用情况取决于警报数量、警报类型和网络带宽等因素，所有这些都会影响 PCAP 文件的大小。

提示

若要避免依赖传感器的存储容量，请使用外部存储来备份 PCAP 数据。

安全建议保留期

Defender for IoT 安全建议仅存储在Azure 门户，自首次检测到建议起的 90 天内。

有关详细信息，请参阅 使用安全建议增强安全态势。

OT 事件时间线保留期

OT 事件时间线数据存储在 OT 网络传感器上，存储容量因传感器的硬件配置文件而异。

事件时间线数据的保留不受时间限制。 但是，假设频率为每天 500 个事件，则所有硬件配置文件都可以将事件保留至少 90 天。

如果传感器超过其最大存储大小，则会删除最早的事件时间线数据文件以容纳新事件。

下表列出了可为每个硬件配置文件存储的最大事件数：

硬件配置文件

事件数

C5600

10M 事件

E1800

10M 事件

E1000

6M 事件

E500

6M 事件

L500

3M 事件

L100

500-K 事件

有关详细信息，请参阅跟踪传感器活动和预配置的物理设备进行 OT 监视。

OT 日志文件保留期

服务和处理日志文件从创建日期起在Azure 门户上存储 30 天。

其他 OT 监视日志文件仅存储在 OT 网络传感器上。

有关更多信息，请参阅：

排查传感器问题

备份文件容量

OT 网络传感器每天运行自动备份，当配置的存储容量达到其限制时，将覆盖较旧的备份文件。

有关更多信息，请参阅：

在 OT 传感器上设置备份和还原文件

OT 网络传感器上的备份

备份文件的保留取决于传感器的体系结构，因为每个硬件配置文件都为备份历史记录分配了一定数量的硬盘空间：

硬件配置文件

分配的硬盘空间

L100

不支持备份

L500

20 GB

E1000

60 GB

E1800

100 GB

C5600

100 GB

ioT Microsoft Defender的数据共享

IoT Microsoft Defender共享以下Microsoft产品中的数据（包括客户数据），这些产品也由客户授权。

Microsoft Defender XDR

Microsoft Sentinel

Microsoft威胁情报中心

Microsoft Defender for Cloud

Microsoft Defender for Endpoint

Microsoft 安全风险管理

后续步骤

有关更多信息，请参阅：

管理单个 OT 网络传感器

Azure数据加密