在 Microsoft Sentinel 中配置数据保留和存档

在上一个部署步骤中，你启用了用户和实体行为分析 (UEBA) 功能，以简化分析过程。 本文介绍如何设置数据保留和存档，以确保组织长期保留重要的数据。 本文是 Microsoft Sentinel 部署指南的一部分。

配置数据保留和存档

保留策略定义何时要在 Log Analytics 工作区中删除或存档数据。 通过存档，可以在工作区中以较低成本保留较少使用的较旧数据。 若要设置数据保留，请使用以下一种或两种方法，具体取决于用例：

• 为一个或多个表配置数据保留和存档（一次一个表）
• 为多个表配置数据保留和存档（同时）