Data Lake ストレージの上限

Sophos Data Lake に保存できるデータの容量には上限があります。

デバイスに対して設定される上限は次のとおりです。

  • 1台のデバイスの 1日あたりの上限。
  • すべてのデバイスの 1月あたりの上限。

クラウドアセットに対しては、Sophos Cloud Optix セクションの説明に従って上限が設定されます。

1台のデバイスの 1日あたりの上限

各デバイスは、1日あたり最高 250MB のデータをアップロードできます。

デバイスが上限に達すると、上限がリセットされるまでデータのアップロードは停止されます。この間、デバイスによって Data Lake にアップロードされなかったデータは、後で再送信されません。このようなデータは、デバイス上で直接クエリすることしかできません。

Windows デバイスの場合、現地時間の午前 0時に上限がリセットされます。

Linux デバイスの場合、XDR エージェントの起動後 24時間ごとに、上限がリセットされます。

脅威に関する警告など、デバイスとソフォス間のその他の通信は、すべて通常どおり続行されます。

すべてのデバイスの 1月あたりの上限

Data Lake は、最大 30日間データを保存します。その期間に許可されるストレージの合計は、XDR ライセンスの数に基づきます。

エンドポイントとサーバーには、別々のストレージプールがあります。

  • エンドポイントプールには、1ライセンスあたり 20MB/日 (1ライセンスあたり 600MB/月) の容量があります。
  • サーバープールには、1ライセンスあたり 40MB/日 (1ライセンスあたり 1200MB/月) の容量があります。

デバイスがこれらの上限を超えた場合、Data Lake は 30日間全体のデータをクエリの対象にすることができなくなります。

デバイスの上限の仕組み

次のライセンスがある場合を想定します。

  • 10 Intercept X Advanced with XDR
  • 10 Intercept X Advanced for Server with XDR

30日の期間中、次の容量のデータを保存できます。

  • 最大 6GB のエンドポイントデータ (10 ライセンス x 20MB x 30日)
  • 最大 12GB のサーバーデータ (10 ライセンス x 40MB x 30日)

ストレージの上限を超えた場合は、データの容量が上限を下回るまで、最も古いデータが削除されます。

たとえば、エンドポイントからのアップロードが 1日あたり 40MB (1月の平均許容量の 2倍) の場合、15日後に既に上限に達してしまいます。この場合、最も古いデータの削除が開始され、30日間の履歴データ全体をクエリの対象にすることができなくなります。

ただし、デバイスのアップロードが、許可されている最大量より少ない場合でも、データは 30日間しか保存されません。

Sophos Cloud Optix のストレージの上限

クラウド環境から Data Lake にデータが送信されるように Sophos Cloud Optix を設定できます。その場合は、Sophos Cloud Optix のデータに対する、Data Lake ストレージの上限が適用されます。

Sophos Cloud Optix からのデータは、30日間、またはストレージの上限に達するまでのいずれか短い方の期間、Data Lake に保存されます。ストレージの上限は、ライセンスを取得したクラウドアセットの数によって決まります。

クラウドアセット 1つにつき、1日あたり 最大 1MB を保存できます。たとえば、100個のクラウドアセットがある場合、Sophos Cloud Optix から Data Lake に最大 3GB のデータを保存できます (100 ライセンス x 1MB x 30日)。ストレージの上限を超えた場合は、データの容量が上限を下回るまで最も古いデータが削除され、Data Lake は 30日間全体のデータをクエリの対象にすることができなくなります。

また、1日あたり Sophos Cloud Optix から Data Lake にアップロードできるデータ量にも上限があります。1日あたりのアップロードの上限は、ライセンスを取得したクラウドアセットの数によって決まります。クラウドアセット 1つにつき、1日あたり 最大 1.25MB をアップロードできます。たとえば、100個のクラウドアセットがある場合、1日あたり最大 125MB のデータをアップロードできます (100 ライセンス x 1.25MB)。

1日あたりのアップロードの上限に達すると、00:00 (UTC) に上限がリセットされるまで、Sophos Cloud Optix はデータのアップロードを停止します。その後 Sophos Cloud Optix は、データのアップロードを、停止した時点から自動的に再開します。