Microsoft Defender for IoT 全体のデータ保持と共有
Microsoft Defender for IoT センサーは、デプロイ後の最初の学習期間中にネットワーク トラフィックのベースラインを学習します。 この学習されたベースラインは、センサーに永続的に格納されます。
Defender for IoT では、Azure portal、OT ネットワーク センサー、オンプレミス管理コンソールにも他のデータが保存されます。
ストレージの場所ごとに、特定のストレージ容量と保持時間が提供されます。 この記事では、それぞれの種類のデータがそれぞれの場所に保存される量と期間 (それを過ぎると削除またはオーバーライドされます) について説明します。
デバイス データの保持期間
次の表では、それぞれの Defender for IoT の場所にデバイス データが保存される期間が示されています。
ストレージの種類 | 詳細 |
---|---|
Azure Portal | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、Azure portal からのデバイス インベントリの管理に関するページを参照してください。 |
OT ネットワーク センサー | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、「センサー コンソールから OT デバイス インベントリを管理する」を参照してください。 |
オンプレミスの管理コンソール | [最後のアクティビティ] の値の日付から 90 日間。 詳細については、「オンプレミスの管理コンソールから OT デバイスのインベントリを管理する」を参照してください。 |
アラート データの保持
次の表では、それぞれの Defender for IoT の場所にアラート データが保存される期間が示されています。 アラート データは、そのアラートの状態や、それが学習済みかミュート済みのどちらであるかに関係なく、一覧表示された状態で保存されます。
ストレージの種類 | 詳細 |
---|---|
Azure Portal | [最初の検出] の値の日付から 90 日間。 詳細については、Azure portalからのアラートの表示と管理に関するページを参照してください。 |
OT ネットワーク センサー | [最初の検出] の値の日付から 90 日間。 詳細については、「センサーのアラートを表示する」を参照してください。 |
オンプレミスの管理コンソール | [最初の検出] の値の日付から 90 日間。 詳細については、オンプレミスの管理コンソールでのアラートの操作に関する記事を参照してください。 |
OT アラートの PCAP データの保持
次の表では、それぞれの Defender for IoT の場所に PCAP データが保存される期間が示されています。
ストレージの種類 | 詳細 |
---|---|
Azure Portal | PCAP ファイルは、OT ネットワーク センサーによって保存されている限り、Azure portal からダウンロードできます。 ダウンロードすると、それらのファイルは Azure portal に 48 時間キャッシュされます。 詳細については、「アラートの PCAP データにアクセスする」を参照してください。 |
OT ネットワーク センサー | PCAP ファイルに割り当てられたセンサーのストレージ容量によって異なります。これは、そのハードウェア プロファイルによって決まります。 - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB センサーが最大ストレージ容量を超えると、新しい PCAP ファイルに対応するために最も古い PCAP ファイルが削除されます。 詳細については、「アラートの PCAP データにアクセスする」と「OT 監視用に事前構成された物理アプライアンス」を参照してください。 |
オンプレミスの管理コンソール | PCAP ファイルはオンプレミスの管理コンソールに保存されず、OT センサーへの直接リンクを介してオンプレミスの管理コンソールからのみアクセスされます。 |
使用可能な PCAP ストレージ領域の使用は、アラートの数、アラートの種類、ネットワーク帯域幅などの要因によって異なります。これらはすべて PCAP ファイルのサイズに影響します。
ヒント
センサーのストレージ容量に依存しないようにするには、外部ストレージを使用して PCAP データをバックアップします。
セキュリティに関する推奨事項の保持
Defender for IoT のセキュリティに関する推奨事項は、推奨事項が最初に検出された時点から 90 日間、Azure portal にのみ保存されます。
詳細については、「セキュリティに関する推奨事項を使用してセキュリティ体制を強化する」を参照してください。
OT イベント タイムラインの保持
OT イベント タイムライン データは OT ネットワーク センサーにのみ保存され、ストレージ容量はセンサーのハードウェア プロファイルによって異なります。
イベント タイムライン データの保持は、時間による制限は行われません。 ただし、1 日あたり 500 イベントの頻度を想定すると、すべてのハードウェア プロファイルで少なくとも 90 日間、イベントを保持できます。
センサーが最大ストレージ サイズを超えた場合は、新しいものに対応するために最も古いイベント タイムライン データ ファイルが削除されます。
次の表に、各ハードウェア プロファイルに保存できるイベントの最大数を示します。
ハードウェア プロファイル | イベント数 |
---|---|
C5600 | 10M イベント |
E1800 | 10M イベント |
E1000 | 6M イベント |
E500 | 6M イベント |
L500 | 3M イベント |
L100 | 500-K イベント |
詳細については、「センサー アクティビティを追跡する」と「OT 監視用に事前構成された物理アプライアンス」を参照してください。
OT ログ ファイルの保持
サービス ファイルと処理ログ ファイルは、作成日から 30 日間、Azure portal に保存されます。
その他の OT 監視ログ ファイルは、OT ネットワーク センサーとオンプレミスの管理コンソールにのみ保存されます。
詳細については、次を参照してください。
データ共有
Defender for IoT では、顧客データを含むデータを、顧客によってライセンス供与された次の Microsoft 製品の間でも共有します。
- Microsoft Security Exposure 管理
オンプレミスのバックアップ ファイルの容量
OT ネットワーク センサーとオンプレミスの管理コンソールの両方で、毎日実行される自動バックアップがあります。
OT センサーとオンプレミスの管理コンソールの両方で、構成されたストレージ容量が最大になると、古いバックアップ ファイルがオーバーライドされます。
詳細については、次を参照してください。
- OT センサーでバックアップ ファイルと復元ファイルを設定する
- オンプレミスの管理コンソールで OT センサーのバックアップ設定を構成する
- オンプレミスの管理コンソール用の OT センサーのバックアップ設定を構成する
OT ネットワーク センサーでのバックアップ
バックアップ ファイルの保持期間はセンサーのアーキテクチャによって異なります。各ハードウェア プロファイルには、バックアップ履歴に割り当てられたハード ディスク領域の量が設定されています。
ハードウェア プロファイル | 割り当てられたハード ディスク領域 |
---|---|
L100 | バックアップはサポートされていません |
L500 | 20 GB |
E1000 | 60 GB |
E1800 | 100 GB |
C5600 | 100 GB |
デバイスにハード ディスク領域が割り当てられない場合、最後のバックアップのみがオンプレミスの管理コンソールに保存されます。
オンプレミスの管理コンソールでのバックアップ
オンプレミスの管理コンソールのバックアップ ファイルに割り当てられたハード ディスク領域は、10 GB に制限され、バックアップは 20 個に制限されます。
オンプレミスの管理コンソールを使用している場合、接続されている各 OT センサーで、オンプレミスの管理コンソールに独自の追加のバックアップ ディレクトリもあります。
- 1 つのセンサー バックアップ ファイルは、最大 40 GB に制限されます。 そのサイズを超えるファイルは、オンプレミスの管理コンソールに送信されません。
- オンプレミスの管理コンソール上のすべてのセンサーからセンサーのバックアップに割り当てられるハード ディスク領域の合計は 100 GB です。
次のステップ
詳細については、次を参照してください。