Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Портал Microsoft Defender предоставляет централизованный интерфейс для настройки хранения данных на уровне таблицы и параметров уровней в Microsoft Sentinel и Microsoft Defender XDR. Вы можете просматривать параметры хранения и управлять ими, переключаться между уровнями аналитики и озера данных, а также оптимизировать хранилище данных в соответствии с операционными требованиями и требованиями к затратам.
В этой статье объясняется, как настроить параметры хранения и уровня для таблиц в Microsoft Sentinel и Defender XDR на портале Microsoft Defender.
Дополнительные сведения о том, как работают уровни данных и хранение, см. в статье Управление уровнями данных и хранением в Microsoft Sentinel.
Предварительные условия
- Чтобы управлять Defender XDR таблицами охоты, необходимо подключиться к Microsoft Sentinel на портале Defender. Дополнительные сведения см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.
Необходимые разрешения
Microsoft Sentinel разрешения рабочей области позволяют просматривать таблицы в определенных рабочих областях Microsoft Sentinel или управлять ими, в то время как унифицированные разрешения RBAC применяются ко всем Microsoft Sentinel рабочим областям на портале Defender.
| Действие | Единое управление доступом на основе ролей (RBAC) на портале Defender | разрешения рабочей области Microsoft Sentinel |
|---|---|---|
| Просмотр параметров таблицы |
Security data basics (read) разрешения в Security operations группе разрешений |
Microsoft.OperationalInsights/workspaces/tables/read разрешения для рабочей области Log Analytics, предоставляемые встроенной ролью читателя Log Analytics, например. |
| Настройка параметров таблицы |
Data (manage) разрешения в Data operations группе разрешений |
Microsoft.OperationalInsights/workspaces/write и Microsoft.OperationalInsights/workspaces/tables/write разрешения для рабочей области Log Analytics, предоставляемые встроенной ролью Участника Log Analytics, например. |
Дополнительные сведения об унифицированном RBAC на портале Defender см. в разделе Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).
Дополнительные сведения о разрешениях Microsoft Sentinel рабочей области см. в разделе Роли и разрешения на платформе Microsoft Sentinel.
Управление параметрами таблицы
Чтобы просмотреть параметры таблицы и управлять ими на портале Microsoft Defender, выполните следующие действия.
Выберите Microsoft Sentinel>Настройка>таблиц в области навигации слева.
На экране Таблица перечислены все таблицы, которыми можно управлять на портале Microsoft Defender, и параметры каждой таблицы.
В столбце рабочей области показана рабочая область Microsoft Sentinel, в которой хранится Microsoft Sentinel или настраиваемая таблица.
Чтобы управлять Microsoft Sentinel и пользовательскими таблицами в другой рабочей области Microsoft Sentinel, выберите имя рабочей области в левом верхнем углу экрана, чтобы переключаться между рабочими областями.
Выберите таблицу на экране Таблицы .
Это действие открывает боковую панель сведений о таблице с дополнительными сведениями о таблице, включая описание таблицы, уровень и сведения о хранении.
Выберите Управление таблицей.
Экран Управление таблицей позволяет изменить параметры хранения таблицы на текущем уровне и при необходимости изменить уровень хранилища.
Параметры хранения уровня аналитики:
- Хранение аналитики: от 30 дней до двух лет.
- Общий срок хранения: до 12 лет долгосрочного хранения в озере данных. Если у вас есть Sentinel озера данных, общее хранение представляет собой хранение данных в озере и по умолчанию равно хранению аналитики. Например, если задать хранение аналитики в шесть месяцев, данные в озере данных также сохраняются в течение шести месяцев по умолчанию без дополнительных затрат. Вы можете продлить долгосрочное хранение в озере дольше, чем хранение уровня аналитики. Например, установите для параметра хранение аналитики шесть месяцев, а общее хранение — 1 год. Плата за хранение озера данных взимается только за период после хранения аналитики, в данном случае 6 месяцев.
Уровень озера данных. Задайте для параметра Хранение значение от 30 дней до 12 лет. При выборе уровня озера данных данные хранятся исключительно в озере данных.
Изменения уровней. При необходимости уровни можно изменить в любое время в зависимости от потребностей в управлении затратами и использовании данных.
Примечание.
Изменения уровня доступны не для всех таблиц. Например, некоторые таблицы решений XDR и Microsoft Sentinel должны быть доступны на уровне аналитики, так как службам безопасности Майкрософт требуются данные в этих таблицах для аналитики практически в реальном времени.
Дополнительные сведения о хранении и параметрах уровней см. в разделе Управление уровнями данных и хранением в Microsoft Sentinel.
Просмотр предупреждений и сообщений. Эти сообщения помогают понять важные последствия изменения параметров таблицы.
Например, вы можете:
- Увеличение срока хранения, скорее всего, приведет к увеличению стоимости данных.
- Переход с уровня аналитики на уровень озера данных приводит к остановке работы функций, использующих аналитические данные, таких как:
- Оповещение
- Расширенная охота
- Правила аналитики
- Правила настраиваемого обнаружения
Нажмите кнопку Сохранить , чтобы применить новые параметры.
Дальнейшие действия
Дополнительные сведения: