Microsoft Defender for IoT 全体でのデータ保持、プライバシー、共有
Microsoft Defender for IoT は、Microsoft Azure portal、OT ネットワーク センサー、オンプレミス管理コンソールにデータを格納します。
ストレージ容量のオプションと保持時間はストレージの種類ごとに異なります。 この記事では、各ストレージの種類に格納されるデータの量と、データが格納されてから削除または上書きされるまでの時間の長さに関するデータ保持ポリシーについて説明します。
収集されるもの
Defender for IoT は、ユーザーが構成したデバイスから情報を収集し、サービスに固有で顧客専用の分離されたテナントにそれを保存します。 保存されたデータは、管理、追跡、レポートのために使われます。
収集される情報には、ネットワーク接続データ (IP とポート)、デバイスの詳細 (デバイス識別子、名前、オペレーティング システムのバージョン、ファームウェアのバージョン) が含まれます。 Defender for IoT は、Microsoft のプライバシー プラクティスと Microsoft トラスト センター ポリシーに従って、このデータを安全に保存します。
このデータを使って、Defender for IoT は次のことができます。
- 組織内の攻撃のインジケーター (IOA) を事前に特定します。
- 攻撃の可能性が検出された場合にアラートを生成します。
- ネットワークからの脅威シグナルに関連するデバイスとアドレスに関するビューをセキュリティ チームに提供し、可能性のあるネットワーク セキュリティの脅威を調査および探索できるようにします。
Microsoft がお客様のデータを広告に使うことはありません。
データの場所
Defender for IoT は、欧州連合と米国にある Microsoft Azure のデータ センターを使います。 サービスによって収集された顧客データは、次の 2 つの地理的な場所のいずれかに格納される可能性があります。
- プロビジョニングの間に識別されたテナントの場所。
- Defender for IoT がデータを処理するために使用するオンライン サービスのデータ ストレージ ルールによって定義された場所。
データの保持
Defender for IoT からのデータは、お客様がアクティブである限り、または契約終了後 90 日間保持されます。 この期間中、そのデータはポータル上のお客様の他のサービスすべてで利用できます。
お客様のライセンスが猶予期間中または一時停止モードになっている間、お客様のデータは保持され、利用できます。 この期間の終了後 90 日経過すると、お客様のデータは Microsoft のシステムから消去され、回復できなくます。
デバイス データの保持期間
次の表は、Defender for IoT の各ストレージの種類にデバイス データが保存される期間です。
| ストレージの種類 | 詳細 |
|---|---|
| Azure Portal | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、Azure portal からのデバイス インベントリの管理に関するページを参照してください。 |
| OT ネットワーク センサー | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、「センサー コンソールから OT デバイス インベントリを管理する」を参照してください。 |
| オンプレミスの管理コンソール | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、「オンプレミスの管理コンソールから OT デバイスのインベントリを管理する」を参照してください。 |
アラート データの保持
次の表は、Defender for IoT の各ストレージの種類にアラート データが保存される期間です。 アラート データは、そのアラートの状態や、それが学習済みかミュート済みのどちらであるかに関係なく、一覧表示された状態で保存されます。
| ストレージの種類 | 詳細 |
|---|---|
| Azure Portal | [最初の検出] の値の日付から 90 日間。 詳細については、Azure portalからのアラートの表示と管理に関するページを参照してください。 |
| OT ネットワーク センサー | [最初の検出] の値の日付から 90 日間。 詳細については、「センサーのアラートを表示する」を参照してください。 |
| オンプレミスの管理コンソール | [最初の検出] の値の日付から 90 日間。 詳細については、オンプレミスの管理コンソールでのアラートの操作に関する記事を参照してください。 |
OT アラートの PCAP データの保持
次の表は、Defender for IoT の各ストレージの種類に PCAP データが保存される期間です。
| ストレージの種類 | 詳細 |
|---|---|
| Azure Portal | PCAP ファイルは、OT ネットワーク センサーによって保存されている限り、Azure portal からダウンロードできます。 ダウンロードすると、それらのファイルは Azure portal に 48 時間キャッシュされます。 詳細については、「アラートの PCAP データにアクセスする」を参照してください。 |
| OT ネットワーク センサー | PCAP ファイルに割り当てられたセンサーのストレージ容量によって異なります。これにより、そのそのハードウェア プロファイルが決まります。 - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB センサーが最大ストレージ容量を超えると、新しい PCAP ファイルに対応するために最も古い PCAP ファイルが削除されます。 詳細については、「アラートの PCAP データにアクセスする」と「OT 監視用に事前構成された物理アプライアンス」を参照してください。 |
| オンプレミスの管理コンソール | PCAP ファイルはオンプレミスの管理コンソールに保存されず、OT センサーへの直接リンクを介してオンプレミスの管理コンソールからのみアクセスされます。 |
使用可能な PCAP ストレージ領域の使用は、アラートの数、アラートの種類、ネットワーク帯域幅などの要因によって異なります。これらはすべて PCAP ファイルのサイズに影響します。
ヒント
センサーのストレージ容量に依存しないようにするには、外部ストレージを使用して PCAP データをバックアップします。
セキュリティに関する推奨事項の保持
Defender for IoT のセキュリティに関する推奨事項は、推奨事項が最初に検出された時点から 90 日間、Azure portal にのみ保存されます。
詳細については、「セキュリティに関する推奨事項を使用してセキュリティ体制を強化する」を参照してください。
OT イベント タイムラインの保持
OT イベント タイムライン データは OT ネットワーク センサーにのみ保存され、ストレージ容量はセンサーのハードウェア プロファイルによって異なります。
イベント タイムライン データの保持は、時間による制限は行われません。 ただし、イベントの頻度が 1 日あたり 500 件であると想定すると、すべてのハードウェア プロファイルで少なくとも 90 日間イベントを保持できます。
センサーが最大ストレージ サイズを超えた場合は、新しいものに対応するために最も古いイベント タイムライン データ ファイルが削除されます。
次の表に、各ハードウェア プロファイルに保存できるイベントの最大数を示します。
| ハードウェア プロファイル | イベント数 |
|---|---|
| C5600 | 10M イベント |
| E1800 | 10M イベント |
| E1000 | 6M イベント |
| E500 | 6M イベント |
| L500 | 3M イベント |
| L100 | 500-K イベント |
詳細については、「センサー アクティビティを追跡する」と「OT 監視用に事前構成された物理アプライアンス」を参照してください。
OT ログ ファイルの保持
サービス ファイルと処理ログ ファイルは、作成日から 30 日間、Azure portal に保存されます。
その他の OT 監視ログ ファイルは、OT ネットワーク センサーとオンプレミスの管理コンソールにのみ保存されます。
詳細については、次を参照してください。
バックアップ ファイルの容量
OT ネットワーク センサーとオンプレミスの管理コンソールの両方で、自動バックアップが毎日実行され、構成されたストレージ容量が上限に達すると、古いバックアップ ファイルが上書きされます。
詳細については、以下を参照してください:
OT ネットワーク センサーでのバックアップ
バックアップ ファイルの保持期間はセンサーのアーキテクチャによって異なります。各ハードウェア プロファイルには、バックアップ履歴に割り当てられたハード ディスク領域の量が設定されています。
| ハードウェア プロファイル | 割り当てられたハード ディスク領域 |
|---|---|
| L100 | バックアップはサポートされていません |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
デバイスが十分なハード ディスク領域を割り当てられない場合、最後のバックアップのみがオンプレミスの管理コンソールに保存されます。
オンプレミスの管理コンソールでのバックアップ
オンプレミスの管理コンソールのバックアップ ファイルに割り当てられたハード ディスク領域は、10 GB に制限され、バックアップは 20 個に制限されます。
オンプレミスの管理コンソールを使用している場合、接続されている各 OT センサーで、オンプレミスの管理コンソールに独自の追加のバックアップ ディレクトリもあります。
- 1 つのセンサー バックアップ ファイルは、最大 40 GB に制限されます。 そのサイズを超えるファイルは、オンプレミスの管理コンソールに送信されません。
- オンプレミスの管理コンソール上のすべてのセンサーからセンサーのバックアップに割り当てられるハード ディスク領域の合計は 100 GB です。
Microsoft Defender for IoT のデータ共有
Microsoft Defender for IoT は、顧客データを含むデータを、お客様によってライセンス供与された次の Microsoft 製品間で共有します。
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft の脅威インテリジェンス センター
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft セキュリティ露出管理
次のステップ
詳細については、次を参照してください。