你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
跨 Microsoft Defender for IoT 的数据保留和共享
Microsoft Defender for IoT 传感器在部署后的初始学习期间了解网络流量的基线。 此习得的基线会无限期地存储在你的传感器上。
Defender for IoT 还会将其他数据存储在 Azure 门户、OT 网络传感器和本地管理控制台中。
每个存储位置都提供了特定的存储容量和保留时间。 本文介绍了每种类型的数据在删除或重写之前在每个位置中存储的量和时长。
设备数据保留期
下表列出了设备数据在每个 Defender for IoT 位置中的存储时长。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 自上次活动值的日期起 90 天。 有关详细信息,请参阅在 Azure 门户中管理设备清单。 |
| OT 网络传感器 | 自上次活动值的日期起 90 天。 有关详细信息,请参阅从传感器控制台管理 OT 设备清单。 |
| 本地管理控制台 | 自上次活动值的日期起 90 天。 有关详细信息,请参阅从本地管理控制台管理 OT 设备清单。 |
警报数据保留期
下表列出了警报数据在每个 Defender for IoT 位置中的存储时长。 无论警报的状态如何,无论它已获知或已静音,警报数据都按列出的状态存储。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 自首次检测值的日期起 90 天。 有关详细信息,请参阅从 Azure 门户查看和管理警报。 |
| OT 网络传感器 | 自首次检测值的日期起 90 天。 有关详细信息,请参阅查看传感器上的警报。 |
| 本地管理控制台 | 自首次检测值的日期起 90 天。 有关详细信息,请参阅在本地管理控制台上处理警报。 |
OT 警报 PCAP 数据保留
下表列出了 PCAP 数据在每个 Defender for IoT 位置中的存储时长。
| 存储类型 | 详细信息 |
|---|---|
| Azure 门户 | 只要 OT 网络传感器存储了 PCAP 文件,就可以从 Azure 门户下载它们。 下载后,文件会在 Azure 门户上缓存 48 小时。 有关详细信息,请参阅访问警报 PCAP 数据。 |
| OT 网络传感器 | 取决于为 PCAP 文件分配的传感器存储容量(这基于其硬件配置文件): - C5600:130 GB - E1800:130 GB - E1000:78 GB - E500:78 GB - L500:7 GB - L100:2.5 GB 如果传感器超出其最大存储容量,则会删除最早的 PCAP 文件以容纳新的 PCAP 文件。 有关详细信息,请参阅访问警报 PCAP 数据和预配置的用于 OT 监视的物理设备。 |
| 本地管理控制台 | PCAP 文件不存储在本地管理控制台上,只能通过指向 OT 传感器的直接链接从本地管理控制台访问。 |
可用 PCAP 存储空间的使用情况取决于警报数量、警报类型和网络带宽等因素,所有这些都会影响 PCAP 文件的大小。
提示
为了避免依赖于传感器的存储容量,请使用外部存储来备份 PCAP 数据。
安全建议保留
Defender for IoT 安全建议仅存储在 Azure 门户上,在首次检测到建议起的 90 天内保留。
有关详细信息,请参阅使用安全建议增强安全状况。
OT 事件时间线保留
OT 事件时间线数据仅存储在 OT 网络传感器上,存储容量因传感器的硬件配置文件而异。
事件时间线数据的保留不受时间限制。 但是,假设频率为每天 500 个事件,则所有硬件配置文件都可以将事件保留至少 90 天。
如果传感器超过其最大存储大小,则会删除最早的事件时间线数据文件以容纳新文件。
下表列出了可为每个硬件配置文件存储的最大事件数:
| 硬件配置文件 | 事件数 |
|---|---|
| C5600 | 10M 事件 |
| E1800 | 10M 事件 |
| E1000 | 6M 事件 |
| E500 | 6M 事件 |
| L500 | 3M 事件 |
| L100 | 500-K 事件 |
有关详细信息,请参阅跟踪传感器活动和预配置的用于 OT 监视的物理设备。
OT 日志文件保留
服务和处理日志文件从创建日期起在 Azure 门户上存储 30 天。
其他 OT 监视日志文件仅存储在 OT 网络传感器和本地管理控制台上。
有关详细信息,请参阅:
数据共享
Defender for IoT 会在客户许可的以下 Microsoft 产品中共享数据,包括客户数据:
- Microsoft 安全漏洞管理
本地备份文件容量
OT 网络传感器和本地管理控制台每天运行自动备份。
在 OT 传感器和本地管理控制台上,当配置的存储容量达到其最大容量时,将覆盖较旧的备份文件。
有关详细信息,请参阅:
OT 网络传感器上的备份
备份文件的保留取决于传感器的体系结构,因为每个硬件配置文件都有一定数量的硬盘空间分配给备份历史记录:
| 硬件配置文件 | 分配的硬盘空间 |
|---|---|
| L100 | 不支持备份 |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
如果设备没有分配的硬盘空间,则只会在本地管理控制台上保存最后一个备份。
本地管理控制台上的备份
为本地管理控制台备份文件分配的硬盘空间限制为 10 GB,只能有 20 个备份。
如果你在使用本地管理控制台,则每个连接的 OT 传感器在本地管理控制台上也有其自己的额外备份目录:
- 单个传感器备份文件的上限为 40 GB。 超过该大小的文件不会发送到本地管理控制台。
- 从本地管理控制台上的所有传感器分配给传感器备份的总硬盘空间为 100 GB。
后续步骤
有关详细信息,请参阅: