Microsoft Sentinel (SIEM) と Microsoft Defender XDR に収集したデータは、テーブルに格納されます。 Microsoft Defender ポータルでは、データに関連付けられている保持期間とストア コストを管理できます。 データ保持とコストは、次のときに管理できます。
- Microsoft Sentinel または Microsoft Defender XDR にデータを送信するようにデータ コネクタを構成します。
- 既存のテーブルとデータを管理します。
この記事では、Microsoft Defender ポータルでテーブルの保持と階層のオプションを管理してセキュリティ操作を最適化し、Microsoft Sentinel と Microsoft Defender XDR のコストを削減する方法について説明します。
Defender ポータルで管理できるテーブルはどれですか?
このセクションでは、Defender ポータルで管理できるテーブルの種類について説明します。
![Defender ポータルの [テーブル管理] 画面を示すスクリーンショット。](media/manage-data-overview/view-table-properties-microsoft-defender-portal.png#lightbox)
| テーブルの種類 | 説明 | 例示 | Microsoft Sentinel のワークスペースにありますか? |
|---|---|---|---|
| Microsoft Sentinel | 組み込みテーブル(以下を含む): - AzureDiagnostics や SigninLogs などの Azure テーブル。 - Microsoft Sentinel テーブル。 - Microsoft Defender XDR と Microsoft Sentinel の統合。これは、保持期間を 30 日を超えると Microsoft Sentinel ワークスペースに作成されます。 現在サポートされていない Defender XDR テーブルの XDR テーブルの種類を参照してください。 |
- Azure テーブル: AzureDiagnostics、 SigninLogs- Microsoft Sentinel テーブル: AWSCloudTrail、 SecurityAlert- XDR テーブル: DeviceEvents、AlertInfo |
イエス |
| カスタム | 手動で、またはジョブを使って、Microsoft Sentinel ワークスペース内に作成するテーブル (概要ルールと検索ジョブ結果のテーブル、カスタム データ ソース テーブルなど)。 |
_CLまたは_SRCHサフィックスを持つテーブル。 |
イエス |
| XDR | XDR の既定のレベルのテーブル。既定では 30 日間の分析リテンション期間があります。 これらのテーブルは表示できますが、Defender ポータルからは管理できません。 | IdentityInfo |
いいえ |
注
基本的なログ テーブルは、Defender ポータルから Microsoft Sentinel ワークスペースで表示できますが、現在管理できるのは Log Analytics ワークスペースのみです。 Defender ポータルからこれらのテーブルを管理するには、Microsoft Sentinel ワークスペースでテーブル プランを基本から分析に変更します。
データ層とデータ保持の仕組み
Microsoft Sentinel のデータは、次の 2 つのレベルのいずれかで保持できます。
分析レベル: このレベルでは、アラート、ハンティング、ブック、およびすべての Microsoft Sentinel 機能でデータを使用できます。 データは次の 2 つの状態で保持されます。
- 分析のリテンション期間: この "ホット" 状態では、データはリアルタイム分析 (高パフォーマンスクエリや分析ルールを含む) と脅威ハンティングに完全に利用できます。 既定では、Microsoft Sentinel と Microsoft Defender XDR は、このレベルのデータを 30 日間保持します。 日割り計算された毎月の長期保有料金で、すべてのテーブルの保持期間を最大 2 年間まで延長できます。 Microsoft Sentinel ソリューション テーブルのリテンション期間を無料で 90 日間まで延長できます。
- 合計リテンション期間: 既定では、分析層のすべてのデータは、同じ保有期間にわたってデータ レイクにミラーリングされます。 分析リテンション期間を超えて、レイク内のデータのリテンション期間を最大 12 年間、低コストで拡張できます。
Data Lake レベル: この低コストの "コールド" レベルでは、Microsoft Sentinel はデータをレイクにのみ保持します。 Data Lake 層のデータは、リアルタイムの分析機能や脅威ハンティングでは使用できません。 ただし、 KQL ジョブを使用して必要なときにいつでもレイク内のデータにアクセスしたり、スケジュールされた KQL または Spark ジョブを実行して時間の経過に伴う傾向を分析したり、サマリー ルールを使用して定期的に受信データから分析情報を集計したりできます。
XDR の既定のレベル: 既定では、Microsoft Defender XDR は、XDR ライセンスに含まれる (30 日間の分析保有期間を含む) XDR の既定のレベルで脅威追求データを保有します。 このデータは、分析レベルまたはデータ レイク レベルには取り込まれません。 サポートされている Defender XDR テーブルの保持期間を 30 日を超えて延長し、分析層にデータを取り込むことができます。 詳細については、「Microsoft Sentinel での XDR データの管理」を参照してください。
これら 2 つのリテンション期間の種類の違いの詳細については、「 分析レベルとデータ レイク層の比較」を参照してください。
次の図は、分析、データ レイク、XDR の既定のレベルの保持コンポーネントと、各層に適用されるテーブルの種類を示しています。
Microsoft Sentinel データ レイクの詳細については、「 Microsoft Sentinel Data Lake とは」を参照してください。
分析レベルとデータ レイク層を比較する
次の表は、2 つの分析層とデータ レイク層とその主な特性を比較しています。
| 比較 | Analytics 層 | データレイク層 |
|---|---|---|
| 主な特性 | ログに対する高パフォーマンスのクエリーとインデックス作成(ホットまたはインタラクティブ リテンションとも呼ばれます)。 | 大規模なデータ ボリューム (コールド ストレージとも呼ばれます) のコスト効率の高い長期保有。 |
| 最適な用途 | リアルタイム分析規則、アラート、ハンティング、ワークブック、およびすべての Microsoft Sentinel 機能。 | - コンプライアンスと規制のログ記録。 - 履歴傾向分析とフォレンジック。 - リアルタイム アラートに不要な低接触データ。 |
| 取り込みコスト | Standard | 最小限 |
| クエリ価格が含まれる | ✅ | ❌ |
| 最適化されたクエリ パフォーマンス | ✅ |
❌ 低速なクエリ。 監査に適しています。 リアルタイム分析用に最適化されていません。 |
| クエリ機能 | Microsoft Defender と Azure portal での完全なクエリ機能と API の使用。 |
-
和集合と結合を含む完全なクエリ機能 - スケジュールされた KQL または Spark ジョブを実行します。 - ノートブックを使用します。 |
| リアルタイム分析機能の完全なセット | ✅ | ❌分析ルール、追求クエリ、パーサー、ウォッチリスト、ブック、プレイブックなど、一部の機能に関する制限事項。 |
| 検索ジョブ | ✅ | ✅ |
| 集計ルール | ✅ | ✅ 単一テーブル上の完全な KQL。lookup を使用して、Analytics テーブルのデータで拡張できます。 |
| 復元 | ✅ | ❌ |
| データのエクスポート | ✅ | ❌ |
| 保持期間 | Microsoft Sentinel の場合は 90 日、Microsoft Defender XDR の場合は 30 日。 日割り計算された月単位の長期保有料金で、最大 2 年間まで延長できます。 |
既定では、分析のデータ保持と同じです。 最大12年まで延長できます。 |
テーブルの設定を変更するとどうなりますか
テーブルの階層とリテンション期間の設定はいつでも切り替えることができます。
テーブルの層を分析からデータ レイクに変更すると、リアルタイム分析およびハンティング クエリはすべて機能しなくなります。
テーブルの合計リテンション期間を短縮すると、Microsoft はデータを削除するまで 30 日間待機するため、変更を元に戻し、構成でエラーが発生した場合にデータ損失を回避できます。
合計保持期間を増やすと、新しい保持期間は、テーブルに取り込み済みでまだ削除されていないすべてのデータに適用されます。
既存のデータを含むテーブルの分析リテンション期間の設定を変更すると、変更はすぐに有効になります。
例:
- 分析レベルには、分析リテンション期間が 180 日間のテーブルがあります。 既定では、合計リテンション期間も 180 日に設定されます。
- 分析のリテンション期間を 90 日に変更すると、合計保有期間は 180 日に変更されません。
- Microsoft Sentinel は、過去 90 日間のデータを分析リテンション期間から自動的に削除しますが、データ レイクに 90 日から 180 日のデータを保存し続けます。
Microsoft Sentinel 内で XDR データを管理する
既定では、Microsoft Defender XDR は、脅威追求データを XDR の既定のレベルで 30 日間保有します。 このデータは、既定では分析レベルまたはデータ レイク レベルには取り込まれません。 サポートされている XDR テーブルの保有期間を 30 日を超えて延長すると、テーブルは、分析レベルの Microsoft Sentinel ワークスペースに作成され、データ レイク レベルにミラー化されます。 XDR テーブルは、最初に分析レベルに取り込まないと、データ レイク レベルに直接取り込むことはできません。
Microsoft Sentinel XDR コネクタが Azure portal で既に有効になっている場合は、コネクタの設定時に選択したテーブルが分析レベルに自動的に取り込まれ、データ レイク レベルにミラー化されます。 既定の保有期間は 30 日であり、最大 12 年間まで延長できます。 テーブルのリストについては、「Microsoft Defender XDR と Microsoft Sentinel の統合」を参照してください。 コネクタのデプロイ中に選択されなかったサポート対象の XDR テーブルは、保有期間を 30 日超に設定することで、分析レベルに取り込み、データ レイク レベルにミラー化できます。
Microsoft Sentinel XDR コネクタが有効になっていない場合、XDR テーブルは自動的に取り込まれませんが、Defender ポータルで分析保有期間を 30 日超に設定することで、引き続き取り込むことができます。 データは、同じ期間にわたってデータ レイク レベルに自動的にミラー化されます。
分析レベルの保有期間と合計保有期間を既定の 30 日間にリセットすることで、分析レベルへのデータの取り込みを停止します。 これにより、Azure portal でコネクタが無効になります。
テーブルとデータの管理の詳細については、「既存のテーブルとデータの管理」を参照してください。
XDR データ保有とコスト
次の表は、Microsoft Sentinel のさまざまなレベルの無料保有期間とコストへの影響をまとめたものです。
| レベル | Retention | 注記 |
|---|---|---|
| 高度な追求 (既定) | 30 日間 | XDR ライセンスに含まれる既定値 |
| Analytics 層 | 90 日間 | Sentinel 対応ワークスペース用の空きストレージ。 インジェスト料金が適用されます。 |
| Data Lake | 構成可能。 既定では、分析レベルと同じです。 | 合計保有期間が分析レベルの保有期間と同じ場合の空きストレージ。 分析レベルの保有期間を超えてデータ レイクにデータを保有すると、追加のストレージ コストが発生します。 |
請求とコストの詳細については、「Microsoft Sentinel の完全な請求モデルを理解する」を参照してください。
次の例では、XDR データは、分析レベルまたはデータ レイク レベルの保有設定に関係なく、高度な追求を通じて少なくとも 30 日間使用できます。
| 分析レベルの保有期間 | 合計保有期間 | 分析レベルのインジェスト コスト | 分析レベルのストレージ コスト | データ レイク レベルのコスト |
|---|---|---|---|---|
| 30 日の既定値 | 30 日の既定値 | 追加のコストが発生しない | N/A | N/A |
| 90 日間 | 90 日間 | コストは、分析レベルのインジェストに適用されます。 | 追加のコストが発生しない。 90 日は無料で含まれています。 | 追加のコストが発生しない。 合計保有期間は、分析レベルの保有期間と一致します。 |
| 90 日間 | 180 日 | コストは、分析レベルのインジェストに適用されます。 | 追加コストなし。90 日間は無料で含まれています。 | 追加のデータ レイク保有期間 90 日 (180 - 90 日) には、コストが適用されます。 |
| コネクタを有効にして 30 日間 | 180 日 | コストは、分析レベルのインジェストに適用されます。 | 追加コストなし。90 日間は無料で含まれています。 | 追加のデータ レイク保有期間 150 日 (180 - 30 日) には、コストが適用されます。 |
| 180 日 | 1 年 | コストは、分析レベルのインジェストに適用されます。 | コストは、90 日の追加の分析レベルの保有期間に適用されます。 | 追加のデータ レイク保有期間 185 日 (365 - 180 日) には、コストが適用されます。 |
次のステップ
詳細については、以下をご覧ください。