Microsoft Sentinel データ レイクは、Microsoft Sentinel ワークスペースからのデータをミラー化します。 Microsoft Sentinel データ レイクにオンボードすると、既存の Microsoft Sentinel データ コネクタは、分析層 (Microsoft Sentinel ワークスペース) の両方にデータを送信し、データを Data Lake 層にミラーリングして長期的なストレージを実現するように構成されます。 オンボード後、要件に従って各層のデータを保持するようにコネクタを構成します。
この記事では、Microsoft Sentinel Data Lake のコネクタを設定し、リテンション期間を構成する方法について説明します。 オンボードの詳細については、「 Microsoft Sentinel Data Lake へのオンボード」を参照してください。
保存期間とデータの階層化を構成する
オンボード後、新しいコネクタを有効にし、既存のコネクタのリテンション期間を構成できます。 データを分析層に送信し、データをデータ レイク層にミラー化するか、データをデータ レイク層にのみ送信することを選択できます。 保持と階層化は、コネクタのセットアップ ページから、または Defender ポータルの [テーブル管理 ] ページを使用して管理します。 テーブルの管理と保持の詳細については、 Microsoft Defender ポータルでのデータ層と保持の管理に関するページを参照してください。
コネクタを有効にすると、既定では、データは分析層に送信され、データ レイク層にミラー化されます。 Microsoft Sentinel データ レイクを有効にすると、オンボーディング以降のすべてのテーブルに対してミラーリングが自動的に有効になります。 分析レベルと同じリテンション期間を持つデータ レイク内のミラー化されたデータでは、追加の課金料金は発生しません。 テーブル内の既存のデータはミラー化されません。 データ レイク層のリテンション期間は、分析層と同じ値に設定されます。 データを Data Lake 層にのみ取り込むよう切り替えることができます。 Data Lake 層にのみ取り込むよう構成すると、分析層への取り込みは停止し、分析層内の既存のデータは保持設定に従って保持されます。
アーカイブに保持されているデータは引き続き使用でき、検索と復元の機能を使用して復元できます。
データ コネクタのリテンション期間と階層化を構成するには、「データ コネクタの 構成」を参照してください。
Microsoft Sentinel XDR データ
既定では、Microsoft Defender XDR は、Analytics レベルの脅威ハンティング データを 30 日間保持します。 このデータは常に使用可能です。 一部の XDR テーブルは、リテンション期間を 30 日以上に増やすことで、分析層とデータ レイク層に取り込むことができます。 分析層を使用せずに、XDR データを Data Lake 層に直接取り込むこともできます。 詳細については、「 Microsoft Sentinel での XDR データの管理」を参照してください。
カスタム ログ テーブル
Microsoft Monitoring Agent (MMA) と Log Analytics Agent (CLV1) カスタム テーブルは、データ レイクにミラーリングされません。
ログ インジェスト API または Azure Monitor エージェント (AMA) と DCR ベースのカスタム テーブルを使用して作成されたテーブルはミラー化されます。 詳細については、「 Azure Monitor のログ インジェスト API」を参照してください。
補助ログテーブル
Microsoft Defender と Microsoft Sentinel の両方にオンボードしてからデータ レイクにオンボードすると、Microsoft Defender の高度なハンティングや Microsoft Sentinel Azure portal に補助ログ テーブルが表示されなくなります。 補助テーブル データは Data Lake で使用でき、KQL クエリまたは Jupyter Notebook を使用してクエリを実行できます。 Defender ポータルの Microsoft Sentinel>Data Lake 探索 で KQL クエリを検索します。