Microsoft Sentinel (SIEM) と Microsoft Defender XDR に収集したデータは、テーブルに格納されます。 Microsoft Defender ポータルでは、データに関連付けられている保持期間とストア コストを管理できます。 データ保持とコストは、次のときに管理できます。
- Microsoft Sentinel または Microsoft Defender XDR にデータを送信するようにデータ コネクタを構成します。
- 既存のテーブルとデータを管理します。
この記事では、Microsoft Defender ポータルでテーブルの保持と階層のオプションを管理してセキュリティ操作を最適化し、Microsoft Sentinel と Microsoft Defender XDR のコストを削減する方法について説明します。
Defender ポータルで管理できるテーブルはどれですか?
このセクションでは、Defender ポータルで管理できるテーブルの種類について説明します。
![Defender ポータルの [テーブル管理] 画面を示すスクリーンショット。](media/manage-data-overview/view-table-properties-microsoft-defender-portal.png#lightbox)
| テーブルの種類 | 説明 | 例示 | Microsoft Sentinel のワークスペースにありますか? |
|---|---|---|---|
| Microsoft Sentinel | 組み込みテーブル(以下を含む): - AzureDiagnostics や SigninLogs などの Azure テーブル。 - Microsoft Sentinel テーブル。 - サポートされている Defender XDR 高度なハンティング テーブル。保持期間を 30 日を超えると Microsoft Sentinel ワークスペースに作成されます。 現在サポートされていない Defender XDR テーブルの XDR テーブルの種類を参照してください。 |
- Azure テーブル: AzureDiagnostics、 SigninLogs- Microsoft Sentinel テーブル: AWSCloudTrail、 SecurityAlert- XDR テーブル: DeviceEvents、AlertInfo |
イエス |
| カスタム | 手動で、またはジョブを使って、Microsoft Sentinel ワークスペース内に作成するテーブル (概要ルールと検索ジョブ結果のテーブル、カスタム データ ソース テーブルなど)。 | _CLまたは_SRCHサフィックスを持つテーブル。 |
イエス |
| XDR | XDR の既定のレベルのテーブル。既定では 30 日間の分析リテンション期間があります。 これらのテーブルは表示できますが、Defender ポータルからは管理できません。 | IdentityInfo |
いいえ |
注
基本的なログ テーブルは、Defender ポータルから Microsoft Sentinel ワークスペースで表示できますが、現在管理できるのは Log Analytics ワークスペースのみです。 Defender ポータルからこれらのテーブルを管理するには、Microsoft Sentinel ワークスペースでテーブル プランを基本から分析に変更します。
データ層とデータ保持の仕組み
Microsoft Sentinel のデータは、次の 2 つのレベルのいずれかで保持できます。
分析レベル: このレベルでは、アラート、ハンティング、ブック、およびすべての Microsoft Sentinel 機能でデータを使用できます。 データは次の 2 つの状態で保持されます。
- 分析のリテンション期間: この "ホット" 状態では、データはリアルタイム分析 (高パフォーマンスクエリや分析ルールを含む) と脅威ハンティングに完全に利用できます。 既定では、Microsoft Sentinel と Microsoft Defender XDR は、このレベルのデータを 30 日間保持します。 日割り計算された毎月の長期保有料金で、すべてのテーブルの保持期間を最大 2 年間まで延長できます。 Microsoft Sentinel ソリューション テーブルのリテンション期間を無料で 90 日間まで延長できます。
- 合計リテンション期間: 既定では、分析層のすべてのデータは、同じ保有期間にわたってデータ レイクにミラーリングされます。 分析リテンション期間を超えて、レイク内のデータのリテンション期間を最大 12 年間、低コストで拡張できます。
Data Lake レベル: この低コストの "コールド" レベルでは、Microsoft Sentinel はデータをレイクにのみ保持します。 Data Lake 層のデータは、リアルタイムの分析機能や脅威ハンティングでは使用できません。 ただし、 KQL ジョブを使用して必要なときにいつでもレイク内のデータにアクセスしたり、スケジュールされた KQL または Spark ジョブを実行して時間の経過に伴う傾向を分析したり、サマリー ルールを使用して定期的に受信データから分析情報を集計したりできます。
これら 2 つのリテンション期間の種類の違いの詳細については、「 分析レベルとデータ レイク層の比較」を参照してください。
既定では、Microsoft Defender XDR は 、XDR ライセンスに含まれる 30 日間の分析リテンション期間を含む、XDR の既定のレベルで脅威ハンティング データを保持します。 サポートされている Defender XDR テーブルの保持期間を 30 日を超えて延長できます。 サポートされている Microsoft Defender XDR テーブルの保持期間を延長すると、Microsoft は分析レベルの Microsoft Sentinel ワークスペースにテーブルを自動的に作成します。
次の図は、分析、データ レイク、XDR の既定のレベルの保持コンポーネントと、各層に適用されるテーブルの種類を示しています。
Microsoft Sentinel データ レイクの詳細については、「 Microsoft Sentinel Data Lake とは」を参照してください。
分析レベルとデータ レイク層を比較する
次の表は、2 つの分析層とデータ レイク層とその主な特性を比較しています。
| 比較 | Analytics 層 | データレイク層 |
|---|---|---|
| 主な特性 | ログに対する高パフォーマンスのクエリーとインデックス作成(ホットまたはインタラクティブ リテンションとも呼ばれます)。 | 大規模なデータ ボリューム (コールド ストレージとも呼ばれます) のコスト効率の高い長期保有。 |
| 最適な用途 | リアルタイム分析規則、アラート、ハンティング、ワークブック、およびすべての Microsoft Sentinel 機能。 | - コンプライアンスと規制のログ記録。 - 履歴傾向分析とフォレンジック。 - リアルタイム アラートに不要な低接触データ。 |
| 取り込みコスト | Standard | 最小限 |
| クエリ価格が含まれる | ✅ | ❌ |
| 最適化されたクエリ パフォーマンス | ✅ | ❌ 低速なクエリ。 監査に適しています。 リアルタイム分析用に最適化されていません。 |
| クエリ機能 | Microsoft Defender と Azure portal での完全なクエリ機能と API の使用。 | - 1 つのテーブルに対する完全な KQL。 ルックアップを使用して分析テーブルのデータを拡張できます。 - スケジュールされた KQL または Spark ジョブを実行します。 - ノートブックを使用します。 |
| リアルタイム分析機能の完全なセット | ✅ | ❌ 分析ルール、ハンティング クエリ、パーサー、ウォッチリスト、ブック、プレイブックなど、ほとんどの機能に関する制限事項。 |
| 検索ジョブ | ✅ | ✅ |
| 集計ルール | ✅ | ✅ KQL は単一のテーブルに制限されます |
| 復元 | ✅ | ❌ |
| データのエクスポート | ✅ | ❌ |
| 保持期間 | Microsoft Sentinel の場合は 90 日、Microsoft Defender XDR の場合は 30 日。 日割り計算された月単位の長期保有料金で、最大 2 年間まで延長できます。 |
既定では、分析のデータ保持と同じです。 最大12年まで延長できます。 |
テーブルの設定を変更するとどうなりますか
テーブルの階層とリテンション期間の設定はいつでも切り替えることができます。
テーブルの層を分析からデータ レイクに変更すると、リアルタイム分析およびハンティング クエリはすべて機能しなくなります。
テーブルの合計リテンション期間を短縮すると、Microsoft はデータを削除するまで 30 日間待機するため、変更を元に戻し、構成でエラーが発生した場合にデータ損失を回避できます。
合計保持期間を増やすと、新しい保持期間は、テーブルに取り込み済みでまだ削除されていないすべてのデータに適用されます。
既存のデータを含むテーブルの分析リテンション期間の設定を変更すると、変更はすぐに有効になります。
例:
- 分析レベルには、分析リテンション期間が 180 日間のテーブルがあります。 既定では、合計リテンション期間も 180 日に設定されます。
- 分析のリテンション期間を 90 日に変更すると、合計保有期間は 180 日に変更されません。
- Microsoft Sentinel は、過去 90 日間のデータを分析リテンション期間から自動的に削除しますが、データ レイクに 90 日から 180 日のデータを保存し続けます。
プレビューの制限事項
パブリック プレビューの一部として、次の手順を実行します。
Basic プランを使用する Microsoft Sentinel テーブルは、Log Analytics ワークスペースからのみ管理できます。 詳細については、「Log Analytics ワークスペースのテーブルを管理する」を参照してください。
Microsoft Defender ポータルから保持期間と階層化を管理するには、Log Analytics ワークスペースでテーブル プランを分析プランに変更します。
一部の Microsoft Defender XDR テーブルは、Microsoft Defender ポータルでのみ表示できます。 現在、Microsoft Defender ポータルでは、次の Microsoft Defender XDR テーブルの管理がサポートされています。
- アラートエビデンス
- AlertInfo
- CampaignInfo
- CloudAppイベント
- DeviceEvents
- DeviceFileCertificateInfo
- DeviceFileEvents
- デバイス画像読み込みイベント
- DeviceInfo
- DeviceLogonEvents
- デバイスネットワークイベント
- DeviceNetworkInfo
- DeviceProcessEvents
- DeviceRegistryEvents
- メール添付情報
- EmailEvents
- EmailPostDeliveryEvents
- EメールURL情報
- FileMaliciousContentInfo
- アイデンティティディレクトリイベント
- アイデンティティログオンイベント
- アイデンティティクエリエベント
- セキュリティアラート
- セキュリティインシデント
- UrlClickEvents
次のステップ
詳細については、以下をご覧ください。