Datenaufbewahrung, Datenschutz und -Freigabe in Microsoft Defender for IoT
Microsoft Defender for IoT speichert Daten im Microsoft Azure-Portal, in OT-Netzwerksensoren und in lokale Verwaltungskonsolen.
Jeder Speichertyp verfügt über unterschiedliche Speicherkapazitätsoptionen und Aufbewahrungszeiten. In diesem Artikel wird die Datenaufbewahrungsrichtlinie für die Datenmenge und die Dauer der Speicherung der Daten in jedem Speichertyp beschrieben, bevor sie gelöscht oder überschrieben werden.
Was sammeln wir?
Defender for IoT sammelt Informationen von Ihren konfigurierten Geräten und speichert sie in einem dienstspezifischen, kundenspezifischen und getrennten Mandanten. Die gespeicherten Daten dienen zu Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecken.
Die gesammelten Informationen umfassen Netzwerkverbindungsdaten (IPs und Ports) und Gerätedetails (Geräte-IDs, Namen, Betriebssystemversionen, Firmwareversionen). Defender for IoT speichert diese Daten sicher gemäß den Datenschutzpraktiken von Microsoft und den Microsoft Trust Center-Richtlinien.
Diese Daten ermöglichen Defender für IoT folgendes:
- Identifizieren Sie proaktiv Indikatoren für Angriffe (IOAs) in Ihrer Organisation.
- Generieren Sie Warnungen, wenn ein möglicher Angriff erkannt wird.
- Stellen Sie Ihrem Sicherheitsteam einen Überblick über Geräte und Adressen im Zusammenhang mit Bedrohungssignalen aus Ihrem Netzwerk bereit, sodass Sie mögliche Netzwerksicherheitsbedrohungen untersuchen und untersuchen können.
Microsoft verwendet Ihre Daten nicht für Werbung.
Datenspeicherort
Defender for IoT verwendet die Microsoft Azure-Rechenzentren in der Europäischen Union und den VEREINIGTEN Staaten. Kundendaten, die vom Dienst erfasst werden, können an einem von zwei geografischen Standorten gespeichert werden:
- Die Geolocation des Mandanten, wie er während der Bereitstellung identifiziert wird.
- Der Geolocation gemäß den Datenspeicherregeln eines Onlinediensts, der von Defender for IoT zum Verarbeiten seiner Daten verwendet wird.
Beibehaltung von Daten
Daten von Defender for IoT werden so lange aufbewahrt, wie ein Kunde aktiv ist oder 90 Tage nach Ablauf Ihres Vertrags aktiv ist. Während dieses Zeitraums sind die Daten über Ihre anderen Dienste im Portal sichtbar.
Ihre Daten werden aufbewahrt und stehen zur Verfügung, während Ihre Lizenz sich im Aktivierungszeitraum oder im angehaltenen Modus befindet. 90 Tage nach Ablauf dieses Zeitraums werden Ihre Daten aus den Systemen von Microsoft gelöscht, sodass sie nicht wiederhergestellt werden können.
Gerätedatenaufbewahrungszeiträume
In der folgenden Tabelle ist aufgeführt, wie lange Gerätedaten an jedem Defender for IoT-Speichertyp gespeichert werden.
| Speichertyp | Details |
|---|---|
| Azure portal | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten Ihrer IoT-Geräte mit dem Gerätebestand für Organisationen. |
| OT-Netzwerksensor | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten Ihres OT-Gerätebestands über eine Sensorkonsole. |
| Lokale Verwaltungskonsole | 90 Tage ab dem Wert des Datums letzte Aktivität. Weitere Informationen finden Sie unter Verwalten des OT-Gerätebestands über eine lokale Verwaltungskonsole. |
Warnung zur Datenaufbewahrung
In der folgenden Tabelle ist aufgeführt, wie lange Warnungsdaten am jeweiligen Defender for IoT-Speichertyp gespeichert werden. Warnungsdaten werden wie aufgeführt gespeichert, unabhängig vom Status der Warnung und ob sie erkannt oder stummgeschaltet wurde.
| Speichertyp | Details |
|---|---|
| Azure portal | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen über das Azure-Portal. |
| OT-Netzwerksensor | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Filtern und Verwalten von Warnungen. |
| Lokale Verwaltungskonsole | 90 Tage ab dem Wert des Datums Erste Erkennung. Weitere Informationen finden Sie unter Anzeigen von Warnungen in der lokalen Verwaltungskonsole. |
OT-Warnung zur PCAP-Datenaufbewahrung
In der folgenden Tabelle ist aufgeführt, wie lange PCAP-Daten am jeweiligen Defender for IoT-Speichertyp gespeichert werden.
| Speichertyp | Details |
|---|---|
| Azure portal | PCAP-Dateien stehen im Azure-Portal zum Download zur Verfügung, solange sie vom OT-Netzwerksensor gespeichert werden. Nach dem Herunterladen werden die Dateien 48 Stunden lang im Azure-Portal zwischengespeichert. Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten. |
| OT-Netzwerksensor | Abhängig von der Speicherkapazität des Sensors, die für das Speichern von PCAP-Dateien zugeordnet wurde, was durch sein Hardwareprofil bestimmt wird: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Wenn ein Sensor seine maximale Speicherkapazität überschreitet, wird die älteste PCAP-Datei gelöscht, um die neueste speichern zu können. Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten und Vorkonfigurierte physische Appliances für die OT-Überwachung. |
| Lokale Verwaltungskonsole | PCAP-Dateien werden nicht in der lokalen Verwaltungskonsole gespeichert und können über sie nur mithilfe eines direkten Links zum OT-Sensor aufgerufen werden. |
Die Nutzung des verfügbaren PCAP-Speicherplatzes hängt von Faktoren wie der Anzahl der Warnungen, dem Warnungstyp und der Netzwerkbandbreite ab. Sie alle wirken sich auf die Größe der PCAP-Datei aus.
Tipp
Um nicht von der Speicherkapazität des Sensors abhängig zu sein, verwenden Sie zum Sichern Ihrer PCAP-Daten einen externen Speicher.
Aufbewahrung von Sicherheitsempfehlungen
Defender for IoT-Sicherheitsempfehlungen werden ab dem Zeitpunkt der ersten Erkennung und der damit verbundenen Empfehlung 90 Tage lang nur im Azure-Portal gespeichert.
Weitere Informationen finden Sie unter Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.
OT-Ereigniszeitachsenaufbewahrung
OT-Ereigniszeitachsendaten werden nur auf OT-Netzwerksensoren gespeichert. Die Speicherkapazität unterscheidet sich dabei je nach Hardwareprofil des Sensors.
Die Aufbewahrung von Ereigniszeitachsendaten ist nicht zeitlich begrenzt. Bei einer angenommenen Häufigkeit von 500 Ereignissen pro Tag bewahren alle Hardwareprofile die Ereignisse jedoch mindestens 90 Tagelang auf.
Wenn ein Sensor seine maximale Speichergröße überschreitet, wird die älteste Ereigniszeitachsendatendatei gelöscht, um die neueste speichern zu können.
In der folgenden Tabelle ist die maximale Anzahl von Ereignissen aufgeführt, die für jedes Hardwareprofil gespeichert werden können:
| Hardwareprofil | Anzahl der Ereignisse |
|---|---|
| C5600 | 10 Mio. Ereignisse |
| E1800 | 10 Mio. Ereignisse |
| E1000 | 6 Mio. Ereignisse |
| E500 | 6 Mio. Ereignisse |
| L500 | 3 Mio. Ereignisse |
| L100 | 500.000 Ereignisse |
Weitere Informationen finden Sie unter Sensoraktivitäten nachverfolgen und Vorkonfigurierte physische Appliances für die OT-Überwachung.
Aufbewahrung der OT-Protokolldatei
Dienst- und Verarbeitungsprotokolldateien werden ab dem Erstellungsdatum 30 Tage lang im Azure-Portal gespeichert.
Andere OT-Überwachungsprotokolldateien werden nur auf dem OT-Netzwerksensor und in der lokalen Verwaltungskonsole gespeichert.
Weitere Informationen finden Sie unter
Kapazität der Backupdatei
Sowohl der OT-Netzwerksensor als auch die lokale Verwaltungskonsole verfügen über automatisierte Sicherungen, die täglich ausgeführt werden, und ältere Sicherungsdateien werden überschrieben, wenn die konfigurierte Speicherkapazität ihren Grenzwert erreicht.
Weitere Informationen finden Sie unter:
- Einrichten von Sicherungs- und Wiederherstellungsdateien auf einem OT-Sensor
- Konfigurieren der Sicherungseinstellungen für OT-Sensoren auf einer lokalen Verwaltungskonsole
Sicherungen auf dem OT-Netzwerksensor
Die Aufbewahrung von Sicherungsdateien hängt von der Architektur des Sensors ab, da jedes Hardwareprofil über einen festgelegten Festplattenspeicher für den Sicherungsverlauf verfügt:
| Hardwareprofil | Zugeordneter Festplattenspeicher |
|---|---|
| L100 | Backups werden nicht unterstützt |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Wenn das Gerät nicht genügend Festplattenspeicher zuordnen kann, wird nur die letzte Sicherung auf der lokalen Verwaltungskonsole gespeichert.
Sicherungen in der lokalen Verwaltungskonsole
Der in der lokalen Verwaltungskonsole für Sicherungsdateien zugewiesene Festplattenspeicher ist auf 10 GB und 20 Sicherungen beschränkt.
Wenn Sie eine lokale Verwaltungskonsole verwenden, verfügt jeder verbundene OT-Sensor über ein eigenes zusätzliches Sicherungsverzeichnis in der lokalen Verwaltungskonsole:
- Eine einzelne Sensorsicherungsdatei ist auf maximal 40 GB beschränkt. Eine Datei, die diese Größe überschreitet, wird nicht an die lokale Verwaltungskonsole gesendet.
- Der gesamte Festplattenspeicher, der allen Sensoren in der lokalen Verwaltungskonsole zur Sensorsicherung zur Verfügung steht, beträgt 100 GB.
Datenfreigabe für Microsoft Defender for IoT
Microsoft Defender for IoT teilt Daten, einschließlich Kundendaten, unter den folgenden Microsoft-Produkten, die auch vom Kunden lizenziert werden:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Threat Intelligence Center
- Microsoft Defender für Cloud
- Microsoft Defender für den Endpunkt
- Microsoft Security Exposure Management
Nächste Schritte
Weitere Informationen finden Sie unter