你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的地理可用性和数据驻留
完成对数据的收集、存储和处理后,合规性可能会成为一项重要的设计要求,并对 Microsoft Sentinel 体系结构产生重要影响。 在许多国家和地区,一项关键数据主权要求是能够验证和证明谁有权在所有条件下访问哪些数据,在 Microsoft Sentinel 工作流中评估风险并获取见解对于许多客户而言都很重要。
本文通过介绍 Microsoft Sentinel 数据的存储位置来帮助你满足合规性要求。
收集的数据
Microsoft Sentinel 收集以下类型的数据:
- 原始数据,例如从连接的 Microsoft 服务和合作伙伴系统收集的事件数据。 来自多个云和源的数据将根据客户的租户订阅流式传输到与 Microsoft Sentinel 关联的客户 Azure Log Analytics 工作区。 此方法使客户能够选择区域和保留策略与删除策略。
- 处理的数据,例如事件、警报等。
- 配置数据,例如连接器设置、规则等。
数据存储位置
服务使用的数据(包括客户数据)可能在以下位置进行存储和处理:
| Data type | 位置 |
|---|---|
| 原始数据 | 存储在与 Microsoft Sentinel 关联的 Azure Log Analytics 工作区所在的同一区域中。 有关详细信息,请参阅支持的区域。 原始数据在以下位置之一进行处理: - 对于位于欧洲的 Log Analytics 工作区,客户数据在欧洲进行处理。 - 对于位于以色列的 Log Analytics 工作区,客户数据在以色列进行处理。 - 对于位于中国世纪互联任何区域的 Log Analytics 工作区,客户数据在中国世纪互联进行处理。 - 对于位于任何其他位置的工作区,客户数据在美国区域进行处理。 |
| 处理的数据和配置数据 | - 对于加入到 Microsoft 统一安全操作平台的工作区,处理的数据和配置数据可能会在 Microsoft Defender XDR 区域中进行存储和处理。 有关详细信息,请参阅 Microsoft Defender XDR 中的数据安全和保留。 - 对于未加入到 Microsoft 统一安全操作平台的工作区,处理的数据和配置数据使用与原始数据相同的方法进行存储和处理。 |
支持的区域
对于 Microsoft Sentinel 原始数据以及未加入到 Microsoft 统一安全操作平台的工作区中的已处理数据和配置数据,支持的区域包括:
| Continent | 国家/地区 | Azure 区域 |
|---|---|---|
| 北美 | 加拿大 | • 加拿大中部 • 加拿大东部 |
| 美国 | • 美国中部 • 美国东部 • 美国东部 2 • 美国东部 2 EUAP • 美国中北部 • 美国中南部 • 美国西部 • 美国西部 2 • 美国西部 3 • 美国中西部 Azure 政府版 • USGov 亚利桑那州 • USGov 弗吉尼亚州 • USNat 东部 • USNat 西部 • USSec 东部 • USSec 西部 |
|
| 南美 | 巴西 | • 巴西南部 • 巴西东南部 |
| 亚洲和中东 | • 东亚 • 东南亚 |
|
| 中国世纪互联 | • 中国东部 2 • 中国北部 3 |
|
| 印度 | • 印度中部 • Jio 印度西部 • Jio 印度中部 |
|
| 以色列 | • 以色列中部 | |
| 日本 | • 日本东部 • 日本西部 |
|
| 韩国 | • 韩国中部 • 韩国南部 |
|
| 卡塔尔 | • 卡塔尔中部 | |
| 阿联酋 | • 阿联酋中部 • 阿联酋北部 |
|
| 欧洲 | • 欧洲北部 • 欧洲西部 |
|
| 法国 | • 法国中部 • 法国南部 |
|
| 德国 | • 德国中西部 | |
| 意大利 | • 意大利北部 | |
| 挪威 | • 挪威东部 • 挪威西部 |
|
| 瑞典 | • 瑞典中部 | |
| 瑞士 | • 瑞士北部 • 瑞士西部 |
|
| 英国 | • 英国南部 • 英国西部 |
|
| 澳大利亚 | 澳大利亚 | • 澳大利亚中部 澳大利亚中部 2 • 澳大利亚东部 • 澳大利亚东南部 |
| 非洲 | 南非 | • 南非北部 |
数据保留
来自 Microsoft Sentinel 的数据将一直保留到以下日期中的最早日期:
- 客户从工作区中删除 Microsoft Sentinel
- 根据一个由客户设置的保留策略
在该时间之前,客户始终可以删除其数据。
在许可证处于宽限期或挂起模式时,客户数据会保留并可供使用。 在此期限结束时,并且不晚于合同终止或到期后的 90 天,数据将从 Microsoft 的系统中擦除,使其不可恢复。
Microsoft Sentinel 的数据共享
Microsoft Sentinel 可以在以下 Microsoft 产品之间共享数据,包括客户数据:
- Microsoft Defender XDR/Microsoft 的统一安全操作平台
- Azure Log Analytics
相关内容
如需详细信息,请参阅在设计工作区体系结构时有关 Azure 区域的详细信息。