你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
跨 Microsoft Defender for IoT 的数据保留、隐私和共享
Microsoft Defender for IoT 将数据存储在 Microsoft Azure 门户、OT 网络传感器中。
每种存储类型都有不同的存储容量选项和保留时间。 本文介绍了数据保留策略,该策略规定了在数据被删除或覆盖之前,每种存储类型中存储的数据量和数据存储时长。
我们在收集哪些内容?
Defender for IoT 从你配置的设备收集信息,并将其存储在特定于服务、客户专用且隔离的租户中。 存储的数据将用于管理、跟踪和报告。
收集的信息包括网络连接数据(IP 和端口),以及设备详细信息(设备标识符、名称、操作系统版本、固件版本)。 Defender for IoT 根据 Microsoft 隐私做法和 Microsoft信任中心策略安全地存储此数据。
使用此数据,Defender for IoT 能够执行以下操作:
- 主动识别组织中的攻击指标 (IOA)。
- 如果检测到可能的攻击,则会生成警报。
- 为你的安全团队提供与网络威胁信号相关的设备和地址的视图,使你能够调查和探索可能的网络安全威胁。
Microsoft 不会将你的数据用于广告用途。
数据位置
Defender for IoT 使用欧盟和美国的 Microsoft Azure 数据中心。 服务收集的客户数据可能存储在以下两个地理位置之一:
- 预配期间标识的租户的地理位置。
- 由 Defender for IoT 用来处理其数据的联机服务的数据存储规则定义的地理位置。
数据保留
只要客户处于活动状态,来自 Defender for IoT 的数据就会一直保留,在合同结束后将保留 90 天。 在此期间,该数据在门户中的其他服务中可见。
在许可证处于宽限期或挂起模式时,你的数据会保留并可供使用。 在此时间段结束 90 天后,数据将被从 Microsoft 的系统中删除,使其无法恢复。
设备数据保留期
下表列出了设备数据在每个 Defender for IoT 存储类型中的存储时长。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 自上次活动值的日期起 90 天。 有关详细信息,请参阅在 Azure 门户中管理设备清单。 |
| OT 网络传感器 | 自上次活动值的日期起 90 天。 有关详细信息,请参阅从传感器控制台管理 OT 设备清单。 |
警报数据保留期
下表列出了警报数据在每个 Defender for IoT 存储类型中的存储时长。 无论警报的状态如何,无论它已获知或已静音,警报数据都按列出的状态存储。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 自首次检测值的日期起 90 天。 有关详细信息,请参阅从 Azure 门户查看和管理警报。 |
| OT 网络传感器 | 自首次检测值的日期起 90 天。 有关详细信息,请参阅查看传感器上的警报。 |
OT 警报 PCAP 数据保留
下表列出了 PCAP 数据在每个 Defender for IoT 存储类型中的存储时长。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 只要 OT 网络传感器存储了 PCAP 文件,就可以从 Azure 门户下载它们。 下载后,文件会在 Azure 门户上缓存 48 小时。 有关详细信息,请参阅访问警报 PCAP 数据。 |
| OT 网络传感器 | 取决于为 PCAP 文件分配的传感器存储容量,该容量决定了其硬件配置文件: - C5600:130 GB - E1800:130 GB - E1000:78 GB - E500:78 GB - L500:7 GB - L100:2.5 GB 如果传感器超出其最大存储容量,则会删除最早的 PCAP 文件以容纳新的 PCAP 文件。 有关详细信息,请参阅访问警报 PCAP 数据和预配置的用于 OT 监视的物理设备。 |
可用 PCAP 存储空间的使用情况取决于警报数量、警报类型和网络带宽等因素,所有这些都会影响 PCAP 文件的大小。
提示
为了避免依赖于传感器的存储容量,请使用外部存储来备份 PCAP 数据。
安全建议保留
Defender for IoT 安全建议仅存储在 Azure 门户上,在首次检测到建议起的 90 天内保留。
有关详细信息,请参阅使用安全建议增强安全状况。
OT 事件时间线保留
OT 事件时间线数据仅存储在 OT 网络传感器上,存储容量因传感器的硬件配置文件而异。
事件时间线数据的保留不受时间限制。 但是,假设频率为每天 500 个事件,则所有硬件配置文件都可以将事件保留至少 90 天。
如果传感器超过其最大存储大小,则会删除最早的事件时间线数据文件以容纳新文件。
下表列出了可为每个硬件配置文件存储的最大事件数:
| 硬件配置文件 | 事件数 |
|---|---|
| C5600 | 10M 事件 |
| E1800 | 10M 事件 |
| E1000 | 6M 事件 |
| E500 | 6M 事件 |
| L500 | 3M 事件 |
| L100 | 500-K 事件 |
有关详细信息,请参阅跟踪传感器活动和预配置的用于 OT 监视的物理设备。
OT 日志文件保留
服务和处理日志文件从创建日期起在 Azure 门户上存储 30 天。
其他 OT 监视日志文件仅存储在 OT 网络传感器上。
有关详细信息,请参阅:
备份文件容量
OT 网络传感器每天运行自动备份,当配置的存储容量达到限制时,旧的备份文件会被覆盖。
有关详细信息,请参阅:
OT 网络传感器上的备份
备份文件的保留取决于传感器的体系结构,因为每个硬件配置文件都有一定数量的硬盘空间分配给备份历史记录:
| 硬件配置文件 | 分配的硬盘空间 |
|---|---|
| L100 | 不支持备份 |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Microsoft Defender for IoT 的数据共享
Microsoft Defender for IoT 会在客户许可的以下 Microsoft 产品中共享数据,包括客户数据:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft 威胁情报中心
- Microsoft Defender for Cloud
- 用于终结点的 Microsoft Defender
- Microsoft 安全风险管理
后续步骤
有关详细信息,请参阅: