Географическая доступность и расположение данных в Microsoft Sentinel

После сбора, хранения и обработки данных соответствие требованиям может стать важным требованием проектирования, что значительно повлияет на архитектуру Microsoft Sentinel. Возможность проверять и доказывать, кто имеет доступ к данным при любых условиях, является критически важным требованием суверенитета данных во многих странах и регионах, а оценка рисков и получение аналитических сведений в Microsoft Sentinel рабочих процессах является приоритетной задачей для многих клиентов.

В этой статье описано, где хранятся данные Microsoft Sentinel.

Важно!

Все Microsoft Sentinel функции будут официально прекращены в Azure, управляемом регионом 21Vianet 18 августа 2026 года, согласно объявлению, размещенном 21Vianet. Из-за этого предстоящего выхода из эксплуатации клиенты больше не смогут подключить новые подписки к службе.

Мы рекомендуем клиентам работать с представителями своих учетных записей в Microsoft Azure, управляемых 21Vianet, чтобы оценить влияние этого выхода из эксплуатации на их собственные операции.

Собранные данные

Microsoft Sentinel собирает следующие типы данных:

  • Необработанные данные, например данные о событиях, собранные из подключенных служб Майкрософт и партнерских систем. Данные из нескольких облаков и источников передаются в рабочую область Azure Log Analytics клиента, связанную с Microsoft Sentinel, в рамках подписки клиента клиента. Такой подход дает клиенту возможность выбирать регион, а также политики хранения и удаления.
  • Обработанные данные, такие как инциденты, оповещения и т. д.
  • Данные конфигурации, такие как параметры соединителя, правила и т. д.

Место хранения данных

Данные, используемые службой, включая данные клиентов, могут храниться и обрабатываться в следующих расположениях:

Тип данных Расположение
Необработанные данные Хранится в том же регионе, что и рабочая область Azure Log Analytics, связанная с Microsoft Sentinel. Дополнительные сведения см. в разделе Поддерживаемые регионы.

Необработанные данные обрабатываются в одном из следующих расположений:
— Для рабочих областей Log Analytics, расположенных в Европе, данные клиентов обрабатываются в Европе.
— Для рабочих областей Log Analytics, расположенных в Израиле, данные клиентов обрабатываются в Израиле.
— Для рабочих областей Log Analytics, расположенных в любом из регионов Китая 21Vianet, данные клиентов обрабатываются в Китае 21Vianet.
— Для рабочих областей, расположенных в любом другом расположении, данные клиентов обрабатываются в регионе США.
Обработанные данные и данные конфигурации — При подключении Microsoft Sentinel к порталу Defender обработанные данные и данные конфигурации могут храниться и обрабатываться в Microsoft Defender XDR регионах. Дополнительные сведения см. в статье Безопасность и хранение данных в Microsoft Defender XDR.

— Если Microsoft Sentinel не подключен к порталу Defender, обработанные данные и данные конфигурации хранятся и обрабатываются с использованием той же методологии, что и необработанные данные.

Поддерживаемые регионы

В следующей таблице показаны поддерживаемые регионы, поддерживающие Microsoft Sentinel SIEM и data lake.

Континента Страна или регион Регион, поддерживаемый SIEM Регион, поддерживаемый data lake
Северная Америка Канада • Центральная Канада
• Восточная Канада
• Центральная Канада
США • Центральная часть США
• Восточная часть США
• Восточная часть США 2
• Восточная часть США 2 EUAP
• Центрально-северная часть США
• Центрально-южная часть США
• Западная часть США
• Западная часть США 2
• Западная часть США 3
• Центрально-западная часть США

Azure правительства
• USGov Аризона
• USGov Virginia
• Восточная часть США
• Западная часть США
• Восточная часть USSec
• Западная часть USSec
• Центральная часть США
• Восточная часть США
• Восточная часть США 2
• Центрально-южная часть США
• Западная часть США 2
Южная Америка Бразилия • Южная Бразилия
• Юго-Восточная Бразилия
Азия и Ближний Восток • Восточная Азия
• Юго-Восточная Азия
• Юго-Восточная Азия
Китай 21Vianet • Восточный Китай 2
• Северный Китай 3
Индия • Центральная Индия
• Джио Индия Западная
• Центральная Индия Джио
• Центральная Индия
Израиль • Центральный Израиль • Центральный Израиль
Япония • Восточная Япония
• Западная Япония
• Восточная Япония
Республика Корея • Центральная Корея
• Южная Корея
Катар • Центральный Катар
ОАЭ • Центральная часть ОАЭ
• Север ОАЭ
Европа • Северная Европа
• Западная Европа
• Северная Европа
• Западная Европа
Франция • Центральная Франция
• Южная Франция
• Центральная Франция
Германия • Центрально-Западная Германия
Италия • Северная Италия • Северная Италия
Норвегия • Восточная Норвегия
• Западная Норвегия
Швеция • Центральная Швеция
Швейцария • Северная Швейцария
• Западная Швейцария
• Северная Швейцария
ВЕЛИКОБРИТАНИИ • Южная часть Соединенного Королевства
• Западная часть Соединенного Королевства
• Южная часть Соединенного Королевства
Австралия Австралия • Центральная Австралия
Центральная Австралия 2
• Восточная Австралия
• Юго-Восточная Австралия
• Восточная Австралия
Африке ЮАР • Северная часть Южной Африки

Важно!

Microsoft Sentinel озера данных необходимо развернуть в том же Azure регионе, что и связанная основная рабочая область Sentinel.

Хранение данных

Данные из Microsoft Sentinel хранятся до самой ранней из следующих дат:

До этого времени клиенты всегда могут удалить свои данные.

Данные клиента хранятся и доступны во время действия лицензии на льготный период или в приостановленном режиме. По истечении этого периода и не позднее чем через 90 дней после прекращения или истечения срока действия контракта данные удаляются из систем Корпорации Майкрософт, чтобы сделать их неустранимыми.

Общий доступ к данным для Microsoft Sentinel

Microsoft Sentinel могут совместно использовать данные, включая данные клиентов, среди следующих продуктов Майкрософт:

  • Microsoft Defender XDR
  • Azure Log Analytics

Дополнительные сведения см. в разделе: