Хранение данных, конфиденциальность и совместное использование в Microsoft Defender для Интернета вещей
Microsoft Defender для Интернета вещей хранит данные в microsoft портал Azure, в сетевых датчиках OT и в локальных консоль управления.
Каждый тип хранилища имеет различные параметры емкости хранилища и время хранения. В этой статье описывается политика хранения данных для объема данных и времени хранения данных в каждом типе хранилища перед удалением или перезаписи.
Что мы собираем?
Defender для Интернета вещей собирает сведения с настроенных устройств и сохраняет его в конкретной службе, выделенном клиентом и разделенным клиентом. Сохраненные данные предназначены для администрирования, отслеживания и создания отчетов.
Собранные сведения включают данные подключения к сети (IP-адреса и порты) и сведения об устройстве (идентификаторы устройств, имена, версии операционной системы, версии встроенного ПО). Defender для Интернета вещей безопасно хранит эти данные в соответствии с политиками конфиденциальности Майкрософт и политиками Центра управления безопасностью Майкрософт.
Эти данные позволяют Defender для Интернета вещей:
- Упреждающее определение индикаторов атак (IOA) в организации.
- Создайте оповещения, если обнаружена возможная атака.
- Предоставьте группе безопасности представление о устройствах и адресах, связанных с сигналами об угрозах из сети, что позволяет изучить и изучить возможные угрозы безопасности сети.
Корпорация Майкрософт не использует данные для рекламы.
Расположение данных
Defender для Интернета вещей использует центры обработки данных Microsoft Azure в Европейском союзе и США. Данные клиентов, собранные службой, могут храниться в одном из двух географических расположений:
- Геолокация клиента, определяемая во время подготовки.
- Геолокация, определяемая правилами хранения данных веб-службы, которая используется Defender для Интернета вещей для обработки своих данных.
Хранение данных
Данные из Defender для Интернета вещей сохраняются до тех пор, пока клиент активен или в течение 90 дней после окончания контракта. В течение этого периода данные отображаются на других службах на портале.
Ваши данные хранятся и доступны, пока лицензия находится в льготном периоде или в приостановленном режиме. Через 90 дней после окончания этого периода данные удаляются из систем Майкрософт, что делает его неустранимым.
Сроки хранения данных устройства
В следующей таблице перечислены сроки хранения данных устройства в каждом типе хранилища Defender для Интернета вещей.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | 90 дней с даты последнего значения действия . Дополнительные сведения см. в разделе "Управление инвентаризацией устройств" из портал Azure. |
| Сетевой датчик OT | 90 дней с даты последнего значения действия . Дополнительные сведения см. в статье Датчики обнаружения для данных инвентаризации. |
| Локальная консоль управления | 90 дней с даты последнего значения действия . Для получения дополнительной информации см. раздел Управление инвентаризацией устройств ОТ в локальной консоли управления. |
Хранение данных оповещений
В следующей таблице перечислены сроки хранения данных оповещений в каждом типе хранилища Defender для Интернета вещей. Данные оповещений хранятся в списке, независимо от состояния оповещения или его выключения.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в статье Просмотр оповещений и управление ими на портале Azure. |
| Сетевой датчик OT | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в разделе Просмотр оповещений на датчике. |
| Локальная консоль управления | 90 дней с даты в значении первого обнаружения . Дополнительные сведения см. в статье "Работа с оповещениями в локальной консоль управления". |
Хранение данных PCAP оповещений OT
В следующей таблице перечислены сроки хранения данных PCAP в каждом типе хранилища Defender для Интернета вещей.
| Тип хранилища | Сведения |
|---|---|
| Портал Azure | PCAP-файлы доступны для скачивания из портал Azure до тех пор, пока сетевой датчик OT хранит их. После скачивания файлы кэшируются в портал Azure в течение 48 часов. Дополнительные сведения см. в разделе "Доступ к данным PCAP" оповещений Access. |
| Сетевой датчик OT | Зависит от емкости хранилища датчика, выделенной для PCAP-файлов, которые определяют его профиль оборудования: - C5600: 130 ГБ - E1800: 130 ГБ - E1000 : 78 ГБ - E500: 78 ГБ - L500: 7 ГБ - L100: 2,5 ГБ Если датчик превышает максимальную емкость хранилища, старый PCAP-файл удаляется для размещения нового. Дополнительные сведения см. в разделе "Данные PCAP оповещений Access" и предварительно настроенные физические устройства для мониторинга OT. |
| Локальная консоль управления | PCAP-файлы не хранятся в локальной консоль управления и доступны только из локальной консоль управления через прямую связь с датчиком OT. |
Использование доступного пространства хранилища PCAP зависит от таких факторов, как количество оповещений, тип оповещения и пропускная способность сети, все из которых влияют на размер PCAP-файла.
Совет
Чтобы избежать зависимости от емкости хранилища датчика, используйте внешнее хранилище для резервного копирования данных PCAP.
Хранение рекомендаций по безопасности
Рекомендации по безопасности Defender для Интернета вещей хранятся только в портал Azure в течение 90 дней с момента обнаружения рекомендации.
Дополнительные сведения см. в статье "Повышение уровня безопасности" с помощью рекомендаций по безопасности.
Хранение временной шкалы событий OT
Данные временной шкалы событий OT хранятся только на сетевых датчиках OT, а емкость хранилища отличается в зависимости от профиля оборудования датчика.
Срок хранения данных временной шкалы событий не ограничивается временем. Однако при условии частоты 500 событий в день все профили оборудования могут хранить события по крайней мере на 90 дней.
Если датчик превышает максимальный размер хранилища, то самый старый файл данных временной шкалы событий удаляется для размещения нового.
В следующей таблице перечислены максимальное количество событий, которые можно хранить для каждого профиля оборудования:
| Профиль оборудования | Количество событий |
|---|---|
| C5600 | События 10M |
| E1800 | События 10M |
| E1000 | События 6M |
| E500 | События 6M |
| L500 | События 3M |
| L100 | 500-K событий |
Дополнительные сведения см. в разделе "Отслеживание активности датчика" и предварительно настроенных физических устройств для мониторинга OT.
Хранение файлов журнала OT
Файлы службы и обработки журналов хранятся в портал Azure в течение 30 дней с момента их создания.
Другие файлы журнала мониторинга OT хранятся только на сетевом датчике OT и локальном консоль управления.
Дополнительные сведения см. в разделе:
Емкость файла резервной копии
Как сетевой датчик OT, так и локальный консоль управления имеют автоматические резервные копии, выполняемые ежедневно, и старые файлы резервного копирования перезаписываются, когда настроенная емкость хранилища достигает предела.
Дополнительные сведения см. в разделе:
- Настройка файлов резервного копирования и восстановления на датчике OT
- Настройка параметров резервного копирования датчика OT в локальной консоль управления
Резервные копии на сетевом датчике OT
Хранение файлов резервного копирования зависит от архитектуры датчика, так как каждый профиль оборудования имеет определенное количество места на жестком диске, выделенное для журнала резервного копирования:
| Профиль оборудования | Выделенное место на жестком диске |
|---|---|
| L100 | Резервные копии не поддерживаются |
| L500 | 20 ГБ |
| E1000 | 60 ГБ |
| E1800 | 100 ГБ |
| C5600 | 100 ГБ |
Если устройство не может выделить достаточно места на жестком диске, то только последняя резервная копия сохраняется в локальной консоль управления.
Резервное копирование в локальной консоль управления
Выделенный жесткий диск для локальных консоль управления файлов резервного копирования ограничен 10 ГБ и только 20 резервных копий.
Если вы используете локальный консоль управления, каждый подключенный датчик OT также имеет собственный, дополнительный каталог резервного копирования в локальной консоль управления:
- Один файл резервного копирования датчика ограничен не более 40 ГБ. Файл, превышающий этот размер, не отправляется в локальную консоль управления.
- Общее место на жестком диске, выделенное для резервного копирования датчиков со всех датчиков в локальной консоль управления, составляет 100 ГБ.
Общий доступ к данным для Microsoft Defender для Интернета вещей
Microsoft Defender для Интернета вещей предоставляет общие данные, включая данные клиентов, среди следующих продуктов Майкрософт, также лицензированных клиентом.
- Microsoft Defender XDR
- Microsoft Sentinel
- Центр аналитики угроз Майкрософт
- Microsoft Defender для облака
- Защитник Майкрософт для конечных точек
- Управление воздействием безопасности Майкрософт
Дальнейшие действия
Дополнительные сведения см. в разделе: