Microsoft Sentinel 中的地理可用性與資料落地
在您收集、儲存和處理資料之後,合規性可能會成為重要的設計需求,對您的 Microsoft Sentinel 結構產生重大的影響。 能夠驗證及證明誰能夠存取所有條件下哪些資料,是許多國家和地區的重要資料主權需求,而評估風險以及在 Microsoft Sentinel 工作流程中取得深入解析,是許多客戶的首要任務。
本文可說明Microsoft Sentinel 數據的儲存位置,協助您符合合規性需求。
收集的資料
Microsoft Sentinel 會收集下列類型的數據:
- 未經處理的數據,例如從連線 Microsoft 服務 和合作夥伴系統收集的事件數據。 來自多個雲端和來源的數據會串流至客戶與 sentinel Microsoft Sentinel 相關聯的客戶 Azure Log Analytics 工作區,該工作區位於客戶的租用戶訂用帳戶下。 這種方法可讓客戶選擇區域和保留和刪除原則。
- 已處理的數據,例如事件、警示等等。
- 組態數據,例如連接器設定、規則等等。
資料儲存位置
服務所使用的資料,包括客戶數據,可能會儲存及處理於下列位置:
| 資料類型 | Location |
|---|---|
| 原始數據 | 儲存在與 Microsoft Sentinel 相關聯的 Azure Log Analytics 工作區相同的區域中。 如需詳細資訊,請參閱支援的區域 (英文)。 原始資料會在下列其中一個位置進行處理: - 針對位於歐洲的Log Analytics工作區,客戶數據會在歐洲進行處理。 - 針對位於以色列的Log Analytics工作區,客戶數據會在以色列進行處理。 - 針對位於任何中國 21Vianet 區域的 Log Analytics 工作區,客戶數據會在中國 21Vianet 中處理。 - 對於位於任何其他位置的工作區,客戶數據會在美國區域中處理。 |
| 已處理的數據和設定數據 | - 針對上線至Microsoft統一安全性作業平臺的工作區,處理的數據和設定數據可能會儲存並處理於 Microsoft Defender 全面偵測回應 區域中。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的數據安全性和保留期。 - 對於未上線至Microsoft統一安全性作業平臺的工作區,會使用與原始數據相同的方法來儲存和處理已處理的數據和設定數據。 |
支援的區域
支援Microsoft Sentinel 原始數據的區域,以及未上線至Microsoft統一安全性作業平臺之工作區中已處理和設定的數據,包括:
| Continent | 國家/地區 | Azure 區域 |
|---|---|---|
| 北美洲 | 加拿大 | • 加拿大中部 • 加拿大東部 |
| 美國 | • 美國中部 • 美國東部 • 美國東部 2 • 美國東部 2 EUAP • 美國中北部 • 美國中南部 • 美國西部 • 美國西部 2 • 美國西部 3 • 美國中西部 Azure Government • US Gov 亞利桑那州 • US Gov 維吉尼亞州 • USNat 東部 • USNat 西部 • USSec 東部 • USSec 西部 |
|
| 南美洲 | 巴西 | • 巴西南部 • 巴西東南部 |
| 亞洲和中東 | • 東亞 • 東南亞 |
|
| 中國世紀互聯 | • 中國東部 2 • 中國北部 3 |
|
| 印度 | • 印度中部 • Jio 印度西部 • Jio 印度中部 |
|
| 以色列 | • 以色列中部 | |
| 日本 | • 日本東部 • 日本西部 |
|
| 南韓 | • 南韓中部 • 南韓南部 |
|
| 卡達 | • 卡達中部 | |
| 阿拉伯聯合大公國 | • 阿拉伯聯合大公國中部 • 阿拉伯聯合大公國北部 |
|
| 歐洲 | • 北歐 • 西歐 |
|
| 法國 | • 法國中部 • 法國南部 |
|
| 德國 | • 德國中西部 | |
| 義大利 | • 義大利北部 | |
| 挪威 | • 挪威東部 • 挪威西部 |
|
| 瑞典 | • 瑞典中部 | |
| 瑞士 | • 瑞士北部 • 瑞士西部 |
|
| UK | • 英國南部 • 英國西部 |
|
| 澳大利亞 | 澳大利亞 | • 澳大利亞中部 澳大利亞中部 2 • 澳大利亞東部 • 澳大利亞東南部 |
| 非洲 | 南非 | • 南非北部 |
資料保留
Microsoft Sentinel 的數據會保留到下列日期最早為止:
- 客戶 會從工作區中移除Microsoft Sentinel
- 根據客戶所設定的保留原則
在那段時間之前,客戶一律可以刪除其數據。
客戶數據會保留,且在授權處於寬限期或暫停模式時可供使用。 在此期間結束時,在合約終止或到期后的 90 天內,數據會從Microsoft系統清除,使其無法復原。
Microsoft Sentinel 的數據共用
Microsoft Sentinel 可能會在下列Microsoft產品中共享數據,包括客戶數據:
- Microsoft Defender 全面偵測回應/Microsoft的統一安全性作業平臺
- Azure Log Analytics
相關內容
如需詳細資訊,請參閱設計工作區架構時 Azure 區域的詳細數據。