Conservazione e condivisione dei dati in Microsoft Defender per IoT

I sensori di Microsoft Defender per IoT apprendono una baseline del traffico di rete durante il periodo di apprendimento iniziale dopo la distribuzione. Questa baseline appresa viene archiviata a tempo indeterminato nei sensori.

Defender per IoT archivia anche altri dati nei portale di Azure, nei sensori di rete OT e nelle console di gestione locali.

Ogni posizione di archiviazione offre una certa capacità di archiviazione e tempi di conservazione. Questo articolo descrive quanto e per quanto tempo ogni tipo di dati viene archiviato in ogni posizione prima che venga eliminato o sottoposto a override.

Periodi di conservazione dei dati del dispositivo

La tabella seguente elenca per quanto tempo i dati del dispositivo vengono archiviati in ogni posizione di Defender per IoT.

Tipo di archiviazione Dettagli
Azure portal 90 giorni dalla data del valore Ultima attività .

Per altre informazioni, vedere Gestire l'inventario dei dispositivi dal portale di Azure.
Sensore di rete OT 90 giorni dalla data del valore Ultima attività .

Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console del sensore.
Console di gestione locale 90 giorni dalla data del valore Ultima attività .

Per altre informazioni, vedere Gestire l'inventario dei dispositivi OT da una console di gestione locale.

Conservazione dei dati degli avvisi

La tabella seguente elenca il tempo di archiviazione dei dati degli avvisi in ogni posizione di Defender per IoT. I dati degli avvisi vengono archiviati come elencati, indipendentemente dallo stato dell'avviso o dal fatto che siano stati appresi o disattivati.

Tipo di archiviazione Dettagli
Azure portal 90 giorni dalla data del primo valore di rilevamento .

Per altre informazioni, vedere Visualizzare e gestire gli avvisi dal portale di Azure.
Sensore di rete OT 90 giorni dalla data del primo valore di rilevamento .

Per altre informazioni, vedere Visualizzare gli avvisi nel sensore.
Console di gestione locale 90 giorni dalla data del primo valore di rilevamento .

Per altre informazioni, vedere Usare gli avvisi nella console di gestione locale.

Conservazione dei dati PCAP dell'avviso OT

La tabella seguente elenca per quanto tempo i dati PCAP vengono archiviati in ogni posizione di Defender per IoT.

Tipo di archiviazione Dettagli
Azure portal I file PCAP sono disponibili per il download dal portale di Azure purché il sensore di rete OT li archivii.

Dopo il download, i file vengono memorizzati nella cache nella portale di Azure per 48 ore.

Per altre informazioni, vedere Accedere ai dati PCAP degli avvisi.
Sensore di rete OT A seconda della capacità di archiviazione del sensore allocata per i file PCAP, determinata dal profilo hardware:

- C5600: 130 GB
- E1800: 130 GB
- E1000 : 78 GB
- E500: 78 GB
- L500: 7 GB
- L100: 2,5 GB

Se un sensore supera la capacità di archiviazione massima, il file PCAP meno recente viene eliminato per supportare il nuovo file.

Per altre informazioni, vedere Access alert PCAP data and Pre-configured physical appliances for OT monitoring .For more information, see Access alert PCAP data and Pre-configured physical appliances for OT monitoring.
Console di gestione locale I file PCAP non vengono archiviati nella console di gestione locale e sono accessibili solo dalla console di gestione locale tramite un collegamento diretto al sensore OT.

L'utilizzo dello spazio di archiviazione PCAP disponibile dipende da fattori quali il numero di avvisi, il tipo di avviso e la larghezza di banda di rete, che influiscono sulle dimensioni del file PCAP.

Suggerimento

Per evitare di dipendere dalla capacità di archiviazione del sensore, usare l'archiviazione esterna per eseguire il backup dei dati PCAP.

Conservazione delle raccomandazioni di sicurezza

Le raccomandazioni sulla sicurezza di Defender per IoT vengono archiviate solo nei portale di Azure, per 90 giorni da quando viene rilevata la raccomandazione per la prima volta.

Per altre informazioni, vedere Migliorare il comportamento di sicurezza con le raccomandazioni sulla sicurezza.

Conservazione della sequenza temporale degli eventi OT

I dati della sequenza temporale degli eventi OT vengono archiviati solo nei sensori di rete OT e la capacità di archiviazione varia a seconda del profilo hardware del sensore.

La conservazione dei dati della sequenza temporale degli eventi non è limitata in base al tempo. Tuttavia, presupponendo una frequenza di 500 eventi al giorno, tutti i profili hardware potranno conservare gli eventi per almeno 90 giorni.

Se un sensore supera le dimensioni massime di archiviazione, il file di dati della sequenza temporale degli eventi meno recente viene eliminato per supportare quello nuovo.

La tabella seguente elenca il numero massimo di eventi che possono essere archiviati per ogni profilo hardware:

Profilo hardware Numero di eventi
C5600 10M eventi
E1800 10M eventi
E1000 Eventi 6M
E500 Eventi 6M
L500 Eventi 3M
L100 500-K eventi

Per altre informazioni, vedere Tenere traccia dell'attività dei sensori e delle appliance fisiche preconfigurato per il monitoraggio OT.

Conservazione dei file di log OT

I file di log di elaborazione e di servizio vengono archiviati nella portale di Azure per 30 giorni dalla data di creazione.

Altri file di log di monitoraggio OT vengono archiviati solo nel sensore di rete OT e nella console di gestione locale.

Per altre informazioni, vedi:

Condivisione dei dati

Defender per IoT condivide i dati, inclusi i dati dei clienti, tra i seguenti prodotti Microsoft concessi in licenza anche dal cliente:

  • Gestione dell'esposizione alla sicurezza Microsoft

Capacità dei file di backup locali

Sia il sensore di rete OT che la console di gestione locale hanno backup automatici eseguiti ogni giorno.

Sia nel sensore OT che nella console di gestione locale, i file di backup meno recenti vengono sottoposti a override quando la capacità di archiviazione configurata ha raggiunto il massimo.

Per altre informazioni, vedi:

Backup nel sensore di rete OT

La conservazione dei file di backup dipende dall'architettura del sensore, poiché ogni profilo hardware ha una quantità di spazio su disco rigido allocata per la cronologia dei backup:

Profilo hardware Spazio su disco rigido allocato
L100 I backup non sono supportati
L500 20 GB
E1000 60 GB
E1800 100 GB
C5600 100 GB

Se il dispositivo non ha allocato spazio su disco rigido, solo l'ultimo backup verrà salvato nella console di gestione locale.

Backup nella console di gestione locale

Lo spazio su disco rigido allocato per i file di backup della console di gestione locale è limitato a 10 GB e a soli 20 backup.

Se si usa una console di gestione locale, ogni sensore OT connesso ha anche una propria directory di backup aggiuntiva nella console di gestione locale:

  • Un singolo file di backup del sensore è limitato a un massimo di 40 GB. Un file che supera tale dimensione non verrà inviato alla console di gestione locale.
  • Lo spazio su disco rigido totale allocato al backup del sensore da tutti i sensori nella console di gestione locale è 100 GB.

Passaggi successivi

Per altre informazioni, vedi: