在 Microsoft Sentinel 中配置数据保留和存档
在上一个部署步骤中,你启用了用户和实体行为分析 (UEBA) 功能,以简化分析过程。 本文介绍如何设置数据保留和存档,以确保组织长期保留重要的数据。 本文是 Microsoft Sentinel 部署指南的一部分。
配置数据保留和存档
保留策略定义何时要在 Log Analytics 工作区中删除或存档数据。 通过存档,可以在工作区中以较低成本保留较少使用的较旧数据。 若要设置数据保留,请使用以下一种或两种方法,具体取决于用例:
- 为一个或多个表配置数据保留和存档(一次一个表)
- 为多个表配置数据保留和存档(同时)