跨適用於IoT Microsoft Defender的數據保留、隱私權和共用
Microsoft適用於 IoT 的 Defender 會將資料儲存在 OT 網路感測器Microsoft Azure 入口網站 中。
每個記憶體類型都有不同的記憶體容量選項和保留時間。 本文說明在刪除或覆寫之前,數據儲存在每個記憶體類型中的數據量和時間長度的數據保留原則。
我們正在收集哪些內容?
適用於 IoT 的 Defender 會從您設定的裝置收集資訊,並將其儲存在服務特定、客戶專用和隔離的租使用者中。 儲存的數據適用於系統管理、追蹤和報告用途。
收集的資訊包括網路連線數據(IP 和埠),以及裝置詳細數據(裝置標識符、名稱、操作系統版本、韌體版本)。 適用於IoT的Defender會根據Microsoft隱私權做法安全地儲存此數據,並 Microsoft信任中心原則。
此數據可讓適用於IoT的Defender:
- 主動識別組織中攻擊的指標。
- 如果偵測到可能的攻擊,請產生警示。
- 為您的安全性小組提供裝置的檢視,以及與來自您網路的威脅訊號相關的位址,讓您能夠調查及探索可能的網路安全性威脅。
Microsoft不會使用您的數據進行廣告。
資料位置
適用於IoT的Defender會使用歐盟和 美國 中Microsoft Azure 資料中心。 服務收集的客戶資料可能會儲存在兩個地理位置的其中一個:
- 布建期間識別的租使用者地理位置。
- 由適用於IoT的Defender用來處理其資料的在線服務資料儲存規則所定義的地理位置。
資料保留
只要客戶使用中,或合約結束後 90 天,適用於 IoT 的 Defender 數據都會保留。 在此期間,您可以在入口網站上看到其他服務的數據。
您的數據會保留且可在授權處於寬限期或暫停模式時使用。 在此期間結束 90 天后,您的數據會從Microsoft系統清除,使其無法復原。
裝置資料保留期間
下表列出每個適用於IoT的Defender記憶體類型中儲存裝置資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從 [上次活動] 值的日期起 90 天。 如需詳細資訊,請參閱從 Azure 入口網站管理您的裝置詳細目錄。 |
| OT 網路感應器 | 從 [上次活動] 值的日期起 90 天。 如需詳細資訊,請參閱從感應器主控台管理您的 OT 裝置詳細目錄。 |
警示資料保留
下表列出每個適用於IoT的Defender記憶體類型中儲存警示資料的時間長度。 不論警示的狀態為何,或是否已知悉或靜音,警示資料都會儲存以下所列出的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從 [第一次偵測] 值的日期起 90 天。 如需詳細資訊,請參閱從 Azure 入口網站檢視和管理警示。 |
| OT 網路感應器 | 從 [第一次偵測] 值的日期起 90 天。 如需詳細資訊,請參閱檢視感應器上的警示。 |
OT 警示 PCAP 資料保留
下表列出每個適用於IoT的Defender記憶體類型中儲存PCAP資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 只要 OT 網路感應器仍儲存 PCAP 檔案,這些檔案便可供從 Azure 入口網站下載。 在下載後,檔案會快取到 Azure 入口網站上 48 小時。 如需詳細資訊,請參閱存取警示 PCAP 資料。 |
| OT 網路感應器 | 取決於配置給 PCAP 檔案的感測器儲存容量,以決定其 硬體配置檔: - C5600:130 GB - E1800:130 GB - E1000:78 GB - E500:78 GB - L500:7 GB - L100:2.5 GB 如果感應器超過其最大儲存體容量,便會刪除最舊的 PCAP 檔案以容納新的檔案。 如需詳細資訊,請參閱存取警示 PCAP 資料和用於 OT 監視的預先設定實體設備。 |
可用 PCAP 儲存空間的使用方式取決於警示數目、警示類型和網路頻寬等因素,這些因素都會影響 PCAP 檔案的大小。
提示
若要避免依賴感應器的儲存體容量,請使用外部儲存體來備份 PCAP 資料。
安全性建議保留
適用於 IoT 的 Defender 安全性建議只會儲存在 Azure 入口網站上,時間為第一次偵測到建議起 90 天。
如需詳細資訊,請參閱使用安全性建議增強安全性態勢。
OT 事件時間軸保留
OT 事件時間軸資料只會儲存在 OT 網路感應器上,而且儲存體容量會根據感應器的硬體設定檔而有所不同。
事件時間軸資料的保留不受時間限制。 不過,假設每天有 500 個事件的頻率,所有硬體配置檔都能夠保留事件至少 90 天。
如果感應器超過其最大儲存體大小,便會刪除最舊的事件時間軸資料檔案以容納新的檔案。
下表列出每個硬體設定檔可以儲存的事件數目上限:
| 硬體設定檔 | 事件數目 |
|---|---|
| C5600 | 1000 萬個事件 |
| E1800 | 1000 萬個事件 |
| E1000 | 600 萬個事件 |
| E500 | 600 萬個事件 |
| L500 | 300 萬個事件 |
| L100 | 50 萬個事件 |
如需詳細資訊,請參閱追蹤感應器活動和用於 OT 監視的預先設定實體設備。
OT 記錄檔保留
服務和處理記錄檔會儲存在 Azure 入口網站上,時間為其建立日期起 30 天。
其他 OT 監視記錄檔只會儲存在 OT 網路感測器上。
如需詳細資訊,請參閱
- 針對感應器進行疑難排解 (部分機器翻譯)
備份檔案容量
OT 網路感測器每天執行自動備份,當設定的記憶體容量達到限制時,就會覆寫較舊的備份檔。
如需詳細資訊,請參閱
OT 網路感應器上的備份
每個硬體設定檔都有設定要配置給備份歷程記錄的硬碟空間數量,因此備份檔案的保留取決於感應器的架構:
| 硬體設定檔 | 所配置的硬碟空間 |
|---|---|
| L100 | 不支援備份 |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
適用於 IoT Microsoft Defender 的數據共用
Microsoft適用於IoT的Defender共用數據,包括客戶數據,以及客戶授權的下列Microsoft產品。
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft威脅情報中心
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- Microsoft 安全性暴露風險管理
下一步
如需詳細資訊,請參閱