Conservazione, privacy e condivisione dei dati in Microsoft Defender per IoT
Microsoft Defender per IoT archivia i dati in Microsoft portale di Azure, nei sensori di rete OT e nelle console di gestione locali.
Ogni tipo di archiviazione ha diverse opzioni di capacità di archiviazione e tempi di conservazione. Questo articolo descrive i criteri di conservazione dei dati per la quantità di dati e l'intervallo di tempo in cui i dati vengono archiviati in ogni tipo di archiviazione prima di essere eliminati o sovrascritti.
Cosa stiamo raccogliendo?
Defender per IoT raccoglie informazioni dai dispositivi configurati e le archivia in un tenant specifico del servizio, dedicato al cliente e separato. I dati archiviati sono destinati a scopi di amministrazione, rilevamento e creazione di report.
Le informazioni raccolte includono i dati di connessione di rete (INDIRIZZI IP e porte) e i dettagli del dispositivo (identificatori del dispositivo, nomi, versioni del sistema operativo, versioni del firmware). Defender per IoT archivia questi dati in modo sicuro in conformità alle procedure di privacy Microsoft e ai criteri del Centro protezione Microsoft.
Questi dati consentono a Defender per IoT di:
- Identificare in modo proattivo gli indicatori di attacco (I/O) nell'organizzazione.
- Generare avvisi se viene rilevato un possibile attacco.
- Fornire al team di sicurezza una visualizzazione dei dispositivi e degli indirizzi correlati ai segnali di minaccia provenienti dalla rete, consentendo di analizzare ed esplorare le possibili minacce alla sicurezza di rete.
Microsoft non usa i dati per la pubblicità.
Ubicazione dei dati
Defender per IoT usa i data center di Microsoft Azure nell'Unione europea e il Stati Uniti. I dati dei clienti raccolti dal servizio potrebbero essere archiviati in una delle due posizioni geografiche seguenti:
- Georilevazione del tenant identificato durante il provisioning.
- La georilevazione definita dalle regole di archiviazione dei dati di un servizio online, usata da Defender per IoT per elaborare i dati.
Conservazione dei dati
I dati di Defender per IoT vengono conservati finché un cliente è attivo o per 90 giorni dopo la fine del contratto. Durante questo periodo i dati sono visibili tra gli altri servizi nel portale.
I dati vengono conservati e sono disponibili mentre la licenza è in un periodo di tolleranza o in modalità sospesa. 90 giorni dopo la fine di questo periodo, i dati vengono cancellati dai sistemi Microsoft, rendendoli irreversibili.
Periodi di conservazione dei dati del dispositivo
La tabella seguente elenca per quanto tempo i dati del dispositivo vengono archiviati in ogni tipo di archiviazione defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore. |
| Console di gestione locale | 90 giorni dalla data del valore Ultima attività . Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console di gestione locale. |
Conservazione dei dati degli avvisi
La tabella seguente elenca per quanto tempo i dati degli avvisi vengono archiviati in ogni tipo di archiviazione defender per IoT. I dati degli avvisi vengono archiviati come elencati, indipendentemente dallo stato dell'avviso o dal fatto che siano stati appresi o disattivati.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Visualizzare e gestire gli avvisi dal portale di Azure. |
| Sensore di rete OT | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Visualizzare gli avvisi nel sensore. |
| Console di gestione locale | 90 giorni dalla data del primo valore di rilevamento . Per altre informazioni, vedere Usare gli avvisi nella console di gestione locale. |
Conservazione dei dati PCAP dell'avviso OT
La tabella seguente elenca per quanto tempo i dati PCAP vengono archiviati in ogni tipo di archiviazione Di Defender per IoT.
| Tipo di archiviazione | Dettagli |
|---|---|
| Azure portal | I file PCAP sono disponibili per il download dal portale di Azure purché il sensore di rete OT li archivii. Dopo il download, i file vengono memorizzati nella cache nella portale di Azure per 48 ore. Per altre informazioni, vedere Accedere ai dati PCAP degli avvisi. |
| Sensore di rete OT | A seconda della capacità di archiviazione del sensore allocata per i file PCAP, che determina il profilo hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Se un sensore supera la capacità di archiviazione massima, il file PCAP meno recente viene eliminato per supportare il nuovo file. Per altre informazioni, vedere Access alert PCAP data and Pre-configured physical appliances for OT monitoring .For more information, see Access alert PCAP data and Pre-configured physical appliances for OT monitoring. |
| Console di gestione locale | I file PCAP non vengono archiviati nella console di gestione locale e sono accessibili solo dalla console di gestione locale tramite un collegamento diretto al sensore OT. |
L'utilizzo dello spazio di archiviazione PCAP disponibile dipende da fattori quali il numero di avvisi, il tipo di avviso e la larghezza di banda di rete, che influiscono sulle dimensioni del file PCAP.
Suggerimento
Per evitare di dipendere dalla capacità di archiviazione del sensore, usare l'archiviazione esterna per eseguire il backup dei dati PCAP.
Conservazione delle raccomandazioni di sicurezza
Le raccomandazioni sulla sicurezza di Defender per IoT vengono archiviate solo nei portale di Azure, per 90 giorni da quando viene rilevata la raccomandazione per la prima volta.
Per altre informazioni, vedere Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza.
Conservazione della sequenza temporale degli eventi OT
I dati della sequenza temporale degli eventi OT vengono archiviati solo nei sensori di rete OT e la capacità di archiviazione varia a seconda del profilo hardware del sensore.
La conservazione dei dati della sequenza temporale degli eventi non è limitata in base al tempo. Tuttavia, supponendo una frequenza di 500 eventi al giorno, tutti i profili hardware sono in grado di conservare gli eventi per almeno 90 giornis.
Se un sensore supera le dimensioni massime di archiviazione, il file di dati della sequenza temporale degli eventi meno recente viene eliminato per supportare quello nuovo.
La tabella seguente elenca il numero massimo di eventi che possono essere archiviati per ogni profilo hardware:
| Profilo hardware | Numero di eventi |
|---|---|
| C5600 | 10M eventi |
| E1800 | 10M eventi |
| E1000 | Eventi 6M |
| E500 | Eventi 6M |
| L500 | Eventi 3M |
| L100 | 500-K eventi |
Per altre informazioni, vedere Tenere traccia dell'attività dei sensori e delle appliance fisiche preconfigurato per il monitoraggio OT.
Conservazione dei file di log OT
I file di log di elaborazione e di servizio vengono archiviati nella portale di Azure per 30 giorni dalla data di creazione.
Altri file di log di monitoraggio OT vengono archiviati solo nel sensore di rete OT e nella console di gestione locale.
Per altre informazioni, vedi:
Capacità dei file di backup
Sia il sensore di rete OT che la console di gestione locale hanno backup automatici in esecuzione quotidiana e i file di backup meno recenti vengono sovrascritti quando la capacità di archiviazione configurata raggiunge il limite.
Per altre informazioni, vedi:
- Configurare i file di backup e ripristino in un sensore OT
- Configurare le impostazioni di backup del sensore OT in una console di gestione locale
Backup nel sensore di rete OT
La conservazione dei file di backup dipende dall'architettura del sensore, poiché ogni profilo hardware ha una quantità di spazio su disco rigido allocata per la cronologia dei backup:
| Profilo hardware | Spazio su disco rigido allocato |
|---|---|
| L100 | I backup non sono supportati |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Se il dispositivo non può allocare spazio su disco rigido sufficiente, solo l'ultimo backup viene salvato nella console di gestione locale.
Backup nella console di gestione locale
Lo spazio su disco rigido allocato per i file di backup della console di gestione locale è limitato a 10 GB e a soli 20 backup.
Se si usa una console di gestione locale, ogni sensore OT connesso ha anche una propria directory di backup aggiuntiva nella console di gestione locale:
- Un singolo file di backup del sensore è limitato a un massimo di 40 GB. Un file che supera tale dimensione non viene inviato alla console di gestione locale.
- Lo spazio su disco rigido totale allocato al backup del sensore da tutti i sensori nella console di gestione locale è 100 GB.
Condivisione dei dati per Microsoft Defender per IoT
Microsoft Defender per IoT condivide i dati, inclusi i dati dei clienti, tra i prodotti Microsoft seguenti, concessi in licenza anche dal cliente.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender for Cloud
- Microsoft Defender per endpoint
- Gestione dell'esposizione alla sicurezza Microsoft
Passaggi successivi
Per altre informazioni, vedi: