Limiti di archiviazione nel Data Lake

La quantità di dati che è possibile archiviare sul Sophos Data Lake prevede dei limiti.

Per i dispositivi, sono presenti i seguenti limiti:

  • Un limite giornaliero per un dispositivo.
  • Un limite mensile per tutti i dispositivi.

Per le risorse cloud, i limiti seguono quanto indicato nella sezione dedicata a Sophos Cloud Optix.

Limite giornaliero per un dispositivo

I dispositivi non possono caricare più di 250 MB di dati al giorno.

Quando un dispositivo raggiunge il limite, smette di caricare dati fino all'azzeramento del limite. I dati che il dispositivo non carica sul Data Lake durante questo periodo di tempo non verranno inviati in un secondo momento. Le query relative a questi dati potranno essere eseguite solo direttamente sul dispositivo.

Per i dispositivi Windows, l'azzeramento del limite avviene a mezzanotte ora locale.

Per i dispositivi Linux, il limite viene azzerato ogni 24 ore dopo l'avvio dell'agente di XDR.

Tutte le altre comunicazioni tra i dispositivi e Sophos, compresi gli avvisi sulle minacce, continueranno come di consueto.

Limite mensile per tutti i dispositivi

I dati possono essere memorizzati sul Data Lake per un massimo di 30 giorni. Lo spazio di archiviazione totale consentito durante questo periodo di tempo si basa sul numero di licenze XDR.

Esistono pool di archiviazione separati per endpoint e server:

  • Per il pool di endpoint sono previsti 20 MB al giorno per ciascuna licenza (600 MB per licenza al mese).
  • Per il pool di server sono previsti 40 MB al giorno per ciascuna licenza (1200 MB per licenza al mese).

Se i dispositivi superano questi limiti, il Data Lake non potrà rendere disponibili per le query tutti e 30 i giorni di dati.

Come funzionano i limiti per i dispositivi

Si supponga di avere le seguenti licenze:

  • 10 Intercept X Advanced with XDR
  • 10 Intercept X Advanced for Server with XDR

In un periodo di 30 giorni, è possibile archiviare le seguenti quantità di dati:

  • Fino a 6 GB di dati degli endpoint (10 licenze x 20 MB x 30 giorni)
  • Fino a 12 GB di dati dei server (10 licenze x 40 MB x 30 giorni)

Se si supera uno dei limiti di archiviazione, rimuoveremo i dati meno recenti, fino a riportare i dati al di sotto del limite massimo.

Ad esempio, se gli endpoint caricano 40 MB al giorno (il doppio della media consentita per tutto il mese), raggiungeranno il limite dopo soli 15 giorni. A questo punto, inizieremo a rimuovere i dati meno recenti, per cui non sarà possibile eseguire query su tutti e 30 i giorni di storico dei dati.

Tuttavia, se i dispositivi caricano meno della quantità consentita, i loro dati verranno comunque conservati per un massimo di 30 giorni.

Limiti di archiviazione per Sophos Cloud Optix

È possibile configurare Sophos Cloud Optix in modo che invii i dati degli ambienti cloud al Data Lake. Se si opta per questa possibilità, ci saranno limiti di archiviazione sul Data Lake per i dati di Sophos Cloud Optix.

I dati provenienti da Sophos Cloud Optix vengono conservati nel Data Lake per 30 giorni o fino al raggiungimento del proprio limite di archiviazione, a seconda di quale condizione si verifichi prima. Il limite di archiviazione dipende dal numero di risorse cloud per cui si possiede una licenza.

È possibile archiviare fino a 1 MB al giorno per ciascuna risorsa cloud. Ad esempio, se si hanno 100 risorse cloud, è possibile archiviare sul Data Lake fino a 3 GB di dati provenienti da Sophos Cloud Optix (100 licenze x 1 MB x 30 giorni). Se si supera il limite di archiviazione, verranno rimossi i dati meno recenti, fino a riportare i dati al di sotto del limite massimo; di conseguenza, il Data Lake non potrà rendere disponibili per le query tutti e 30 i giorni di dati.

Esiste un limite anche per la quantità di dati che è possibile caricare ogni giorno sul Data Lake da Sophos Cloud Optix. Il limite giornaliero di caricamento dipende dal numero di risorse cloud per le quali si possiede una licenza. È possibile caricare fino a 1,25 MB al giorno per risorsa cloud. Ad esempio, se si hanno 100 risorse cloud, è possibile caricare fino a 125 MB di dati al giorno (100 licenze x 1,25 MB).

Se si raggiunge il limite giornaliero di caricamento, Sophos Cloud Optix interromperà il caricamento dei dati fino a quando il limite non verrà azzerato alle ore 00:00 UTC. Sophos Cloud Optix riprenderà quindi automaticamente il caricamento dei dati dal punto in cui era stato interrotto.