Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После сбора, хранения и обработки данных соответствие требованиям может стать важным требованием проектирования, что значительно повлияет на архитектуру Microsoft Sentinel. Возможность проверять и доказывать, кто имеет доступ к данным при любых условиях, является критически важным требованием суверенитета данных во многих странах и регионах, а оценка рисков и получение аналитических сведений в Microsoft Sentinel рабочих процессах является приоритетной задачей для многих клиентов.
В этой статье описано, где хранятся данные Microsoft Sentinel.
Важно!
Все Microsoft Sentinel функции будут официально прекращены в Azure, управляемом регионом 21Vianet 18 августа 2026 года, согласно объявлению, размещенном 21Vianet. Из-за этого предстоящего выхода из эксплуатации клиенты больше не смогут подключить новые подписки к службе.
Мы рекомендуем клиентам работать с представителями своих учетных записей в Microsoft Azure, управляемых 21Vianet, чтобы оценить влияние этого выхода из эксплуатации на их собственные операции.
Собранные данные
Microsoft Sentinel собирает следующие типы данных:
- Необработанные данные, например данные о событиях, собранные из подключенных служб Майкрософт и партнерских систем. Данные из нескольких облаков и источников передаются в рабочую область Azure Log Analytics клиента, связанную с Microsoft Sentinel, в рамках подписки клиента клиента. Такой подход дает клиенту возможность выбирать регион, а также политики хранения и удаления.
- Обработанные данные, такие как инциденты, оповещения и т. д.
- Данные конфигурации, такие как параметры соединителя, правила и т. д.
Место хранения данных
Данные, используемые службой, включая данные клиентов, могут храниться и обрабатываться в следующих расположениях:
| Тип данных | Расположение |
|---|---|
| Необработанные данные | Хранится в том же регионе, что и рабочая область Azure Log Analytics, связанная с Microsoft Sentinel. Дополнительные сведения см. в разделе Поддерживаемые регионы. Необработанные данные обрабатываются в одном из следующих расположений: — Для рабочих областей Log Analytics, расположенных в Европе, данные клиентов обрабатываются в Европе. — Для рабочих областей Log Analytics, расположенных в Израиле, данные клиентов обрабатываются в Израиле. — Для рабочих областей Log Analytics, расположенных в любом из регионов Китая 21Vianet, данные клиентов обрабатываются в Китае 21Vianet. — Для рабочих областей, расположенных в любом другом расположении, данные клиентов обрабатываются в регионе США. |
| Обработанные данные и данные конфигурации | — При подключении Microsoft Sentinel к порталу Defender обработанные данные и данные конфигурации могут храниться и обрабатываться в Microsoft Defender XDR регионах. Дополнительные сведения см. в статье Безопасность и хранение данных в Microsoft Defender XDR. — Если Microsoft Sentinel не подключен к порталу Defender, обработанные данные и данные конфигурации хранятся и обрабатываются с использованием той же методологии, что и необработанные данные. |
Поддерживаемые регионы
В следующей таблице показаны поддерживаемые регионы, поддерживающие Microsoft Sentinel SIEM и data lake.
| Континента | Страна или регион | Регион, поддерживаемый SIEM | Регион, поддерживаемый data lake |
|---|---|---|---|
| Северная Америка | Канада | • Центральная Канада • Восточная Канада |
• Центральная Канада |
| США | • Центральная часть США • Восточная часть США • Восточная часть США 2 • Восточная часть США 2 EUAP • Центрально-северная часть США • Центрально-южная часть США • Западная часть США • Западная часть США 2 • Западная часть США 3 • Центрально-западная часть США Azure правительства • USGov Аризона • USGov Virginia • Восточная часть США • Западная часть США • Восточная часть USSec • Западная часть USSec |
• Центральная часть США • Восточная часть США • Восточная часть США 2 • Центрально-южная часть США • Западная часть США 2 |
|
| Южная Америка | Бразилия | • Южная Бразилия • Юго-Восточная Бразилия |
|
| Азия и Ближний Восток | • Восточная Азия • Юго-Восточная Азия |
• Юго-Восточная Азия | |
| Китай 21Vianet | • Восточный Китай 2 • Северный Китай 3 |
||
| Индия | • Центральная Индия • Джио Индия Западная • Центральная Индия Джио |
• Центральная Индия | |
| Израиль | • Центральный Израиль | • Центральный Израиль | |
| Япония | • Восточная Япония • Западная Япония |
• Восточная Япония | |
| Республика Корея | • Центральная Корея • Южная Корея |
||
| Катар | • Центральный Катар | ||
| ОАЭ | • Центральная часть ОАЭ • Север ОАЭ |
||
| Европа | • Северная Европа • Западная Европа |
• Северная Европа • Западная Европа |
|
| Франция | • Центральная Франция • Южная Франция |
• Центральная Франция | |
| Германия | • Центрально-Западная Германия | ||
| Италия | • Северная Италия | • Северная Италия | |
| Норвегия | • Восточная Норвегия • Западная Норвегия |
||
| Швеция | • Центральная Швеция | ||
| Швейцария | • Северная Швейцария • Западная Швейцария |
• Северная Швейцария | |
| ВЕЛИКОБРИТАНИИ | • Южная часть Соединенного Королевства • Западная часть Соединенного Королевства |
• Южная часть Соединенного Королевства | |
| Австралия | Австралия | • Центральная Австралия Центральная Австралия 2 • Восточная Австралия • Юго-Восточная Австралия |
• Восточная Австралия |
| Африке | ЮАР | • Северная часть Южной Африки |
Важно!
Microsoft Sentinel озера данных необходимо развернуть в том же Azure регионе, что и связанная основная рабочая область Sentinel.
Хранение данных
Данные из Microsoft Sentinel хранятся до самой ранней из следующих дат:
- Клиент удаляет Microsoft Sentinel из рабочей области
- Согласно политике хранения, заданной клиентом
До этого времени клиенты всегда могут удалить свои данные.
Данные клиента хранятся и доступны во время действия лицензии на льготный период или в приостановленном режиме. По истечении этого периода и не позднее чем через 90 дней после прекращения или истечения срока действия контракта данные удаляются из систем Корпорации Майкрософт, чтобы сделать их неустранимыми.
Общий доступ к данным для Microsoft Sentinel
Microsoft Sentinel могут совместно использовать данные, включая данные клиентов, среди следующих продуктов Майкрософт:
- Microsoft Defender XDR
- Azure Log Analytics
Связанные материалы
Дополнительные сведения см. в разделе:
- Сведения о Azure регионах, полезные при проектировании архитектуры рабочей области.
- Непрерывность бизнес-процессов и аварийное восстановление для Microsoft Sentinel