Microsoft Sentinel で対話型の長期データ保持期間を構成する
前のデプロイ手順では、分析プロセスを合理化するために、ユーザーとエンティティの動作分析 (UEBA) 機能を有効にしました。 この記事では、組織が長期的に重要なデータを保持するよう、対話型の長期データ保持を設定する方法を説明します。 この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。
データ保有期間を構成する
保持ポリシーでは、Log Analytics ワークスペースでログデータを削除する時期や、長期保持としてマークする時期を定義します。 長期保持では、ワークスペース内の古く、使用頻度の低いデータを保持するコストを低減できます。 データ保持プランを設定するには、Microsoft Sentinel のログ保持プランを参照し、ユース ケースに応じて、次のいずれかまたは両方の方法を使用します。
- 1 つ以上のテーブルに対して対話型の長期データ保持期間を構成する (一度につき、1 つのテーブル)
- 複数のテーブルのデータ保持を構成する (一括)
次のステップ
この記事では、対話型の長期データ保持を設定する方法について説明しました。