跨適用於IoT Microsoft Defender的數據保留、隱私權和共用
Microsoft適用於IoT的Defender會將資料儲存在 Microsoft Azure 入口網站、OT 網路感測器和內部部署管理控制台中。
每個記憶體類型都有不同的記憶體容量選項和保留時間。 本文說明在刪除或覆寫之前,數據儲存在每個記憶體類型中的數據量和時間長度的數據保留原則。
我們正在收集哪些內容?
適用於 IoT 的 Defender 會從您設定的裝置收集資訊,並將其儲存在服務特定、客戶專用和隔離的租使用者中。 儲存的數據適用於系統管理、追蹤和報告用途。
收集的資訊包括網路連線數據(IP 和埠),以及裝置詳細數據(裝置標識符、名稱、操作系統版本、韌體版本)。 適用於IoT的Defender會根據Microsoft隱私權做法安全地儲存此數據,並 Microsoft信任中心原則。
此數據可讓適用於IoT的Defender:
- 主動識別組織中攻擊的指標。
- 如果偵測到可能的攻擊,請產生警示。
- 為您的安全性小組提供裝置的檢視,以及與來自您網路的威脅訊號相關的位址,讓您能夠調查及探索可能的網路安全性威脅。
Microsoft不會使用您的數據進行廣告。
資料位置
適用於IoT的Defender會使用歐盟和 美國中的 Microsoft Azure 資料中心。 服務收集的客戶資料可能會儲存在兩個地理位置的其中一個:
- 布建期間識別的租使用者地理位置。
- 由適用於IoT的Defender用來處理其資料的在線服務資料儲存規則所定義的地理位置。
資料保留
只要客戶使用中,或合約結束後 90 天,適用於 IoT 的 Defender 數據都會保留。 在此期間,您可以在入口網站上看到其他服務的數據。
您的數據會保留且可在授權處於寬限期或暫停模式時使用。 在此期間結束 90 天后,您的數據會從Microsoft系統清除,使其無法復原。
裝置資料保留期間
下表列出每個適用於IoT的Defender記憶體類型中儲存裝置資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從 [上次活動] 值的日期起 90 天。 如需詳細資訊,請參閱從 Azure 入口網站管理您的裝置詳細目錄。 |
| OT 網路感應器 | 從 [上次活動] 值的日期起 90 天。 如需詳細資訊,請參閱從感應器主控台管理您的 OT 裝置詳細目錄。 |
| 內部部署管理主控台 | 從 [上次活動] 值的日期起 90 天。 如需詳細資訊,請參閱從內部部署管理主控台管理 OT 裝置清查。 |
警示資料保留
下表列出每個適用於IoT的Defender記憶體類型中儲存警示資料的時間長度。 不論警示的狀態為何,或是否已知悉或靜音,警示資料都會儲存以下所列出的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 從 [第一次偵測] 值的日期起 90 天。 如需詳細資訊,請參閱從 Azure 入口網站檢視和管理警示。 |
| OT 網路感應器 | 從 [第一次偵測] 值的日期起 90 天。 如需詳細資訊,請參閱檢視感應器上的警示。 |
| 內部部署管理主控台 | 從 [第一次偵測] 值的日期起 90 天。 如需詳細資訊,請參閱在內部部署管理主控台上使用警示。 |
OT 警示 PCAP 資料保留
下表列出每個適用於IoT的Defender記憶體類型中儲存PCAP資料的時間長度。
| 儲存體類型 | 詳細資料 |
|---|---|
| Azure 入口網站 | 只要 OT 網路感應器仍儲存 PCAP 檔案,這些檔案便可供從 Azure 入口網站下載。 在下載後,檔案會快取到 Azure 入口網站上 48 小時。 如需詳細資訊,請參閱存取警示 PCAP 資料。 |
| OT 網路感應器 | 取決於配置給 PCAP 檔案的感測器儲存容量,以決定其 硬體配置檔: - C5600:130 GB - E1800:130 GB - E1000:78 GB - E500:78 GB - L500:7 GB - L100:2.5 GB 如果感應器超過其最大儲存體容量,便會刪除最舊的 PCAP 檔案以容納新的檔案。 如需詳細資訊,請參閱存取警示 PCAP 資料和用於 OT 監視的預先設定實體設備。 |
| 內部部署管理主控台 | PCAP 檔案不會儲存在內部部署管理主控台上,而且只能透過 OT 感應器的直接連結從內部部署管理主控台存取。 |
可用 PCAP 儲存空間的使用方式取決於警示數目、警示類型和網路頻寬等因素,這些因素都會影響 PCAP 檔案的大小。
提示
若要避免依賴感應器的儲存體容量,請使用外部儲存體來備份 PCAP 資料。
安全性建議保留
適用於 IoT 的 Defender 安全性建議只會儲存在 Azure 入口網站上,時間為第一次偵測到建議起 90 天。
如需詳細資訊,請參閱使用安全性建議增強安全性態勢。
OT 事件時間軸保留
OT 事件時間軸資料只會儲存在 OT 網路感應器上,而且儲存體容量會根據感應器的硬體設定檔而有所不同。
事件時間軸資料的保留不受時間限制。 不過,假設每天有 500 個事件的頻率,所有硬體配置檔都能夠保留事件至少 90 天。
如果感應器超過其最大儲存體大小,便會刪除最舊的事件時間軸資料檔案以容納新的檔案。
下表列出每個硬體設定檔可以儲存的事件數目上限:
| 硬體設定檔 | 事件數目 |
|---|---|
| C5600 | 1000 萬個事件 |
| E1800 | 1000 萬個事件 |
| E1000 | 600 萬個事件 |
| E500 | 600 萬個事件 |
| L500 | 300 萬個事件 |
| L100 | 50 萬個事件 |
如需詳細資訊,請參閱追蹤感應器活動和用於 OT 監視的預先設定實體設備。
OT 記錄檔保留
服務和處理記錄檔會儲存在 Azure 入口網站上,時間為其建立日期起 30 天。
其他 OT 監視記錄檔只會儲存在 OT 網路感應器和內部部署管理主控台上。
如需詳細資訊,請參閱
- 針對感應器進行疑難排解 (部分機器翻譯)
- 針對内部部署管理主控台進行疑難排解
備份檔案容量
OT 網路感測器和內部部署管理控制台都有每日執行的自動備份,當設定的記憶體容量達到其限制時,會覆寫較舊的備份檔。
如需詳細資訊,請參閱
OT 網路感應器上的備份
每個硬體設定檔都有設定要配置給備份歷程記錄的硬碟空間數量,因此備份檔案的保留取決於感應器的架構:
| 硬體設定檔 | 所配置的硬碟空間 |
|---|---|
| L100 | 不支援備份 |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
如果裝置無法配置足夠的硬碟空間,則只會在內部部署管理控制臺上儲存最後一個備份。
內部部署管理主控台上的部署
配置給內部部署管理主控台備份檔案的硬碟空間會限製為 10 GB,並限制為只有 20 個備份。
如果您使用內部部署管理主控台,每個已連線的 OT 感應器也會在內部部署管理主控台上有自己的額外備份目錄:
- 單一感應器備份檔案的上限為 40 GB。 超過該大小的檔案不會傳送至內部部署管理主控台。
- 針對來自內部部署管理主控台上所有感應器的感應器備份所配置的硬碟空間總計為 100 GB。
適用於 IoT Microsoft Defender 的數據共用
Microsoft適用於IoT的Defender共用數據,包括客戶數據,以及客戶授權的下列Microsoft產品。
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- Microsoft Sentinel
- Microsoft威脅情報中心
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- Microsoft 安全性暴露風險管理
下一步
如需詳細資訊,請參閱