Limiti di archiviazione nel Data Lake
La quantità di dati che è possibile archiviare sul Sophos Data Lake prevede dei limiti.
Per i dispositivi, sono presenti i seguenti limiti:
- Un limite giornaliero per un dispositivo.
- Un limite di 90 giorni per tutti i dispositivi.
Per le risorse cloud, i limiti seguono quanto indicato nella sezione dedicata a Sophos Cloud Optix.
Limite giornaliero per un dispositivo
Ogni dispositivo è limitato al caricamento di un massimo di 2 GB di dati al giorno.
Quando un dispositivo raggiunge il limite, smette di caricare dati fino all'azzeramento del limite. I dati che il dispositivo non carica sul Data Lake durante questo periodo di tempo non verranno inviati in un secondo momento. Le query relative a questi dati potranno essere eseguite solo direttamente sul dispositivo.
Per i dispositivi Windows, l'azzeramento del limite avviene a mezzanotte ora locale.
Per i dispositivi Linux, il limite viene azzerato ogni 24 ore dopo l'avvio dell'agente di XDR.
Tutte le altre comunicazioni tra i dispositivi e Sophos, compresi gli avvisi sulle minacce, continueranno come di consueto.
Se i dispositivi caricano più dati del previsto, è possibile scoprire quali sono le query che generano la maggiore quantità di dati. Sarà poi possibile utilizzare queste informazioni per svolgere indagini sui caricamenti dei dati. Vedere Risoluzione dei problemi relativi alle violazioni dei limiti giornalieri.
Limite di 90 giorni per tutti i dispositivi
I dati possono essere memorizzati sul Data Lake per un massimo di 90 giorni. Lo spazio di archiviazione totale consentito durante questo periodo di tempo si basa sul numero di licenze XDR.
Esistono pool di archiviazione separati per endpoint e server:
- Per il pool di endpoint sono previsti 20 MB al giorno per ciascuna licenza (1,8 GB per licenza per 90 giorni).
- Per il pool di server sono previsti 40 MB al giorno per ciascuna licenza (3,6 GB per licenza per 90 giorni).
Se i dispositivi superano questi limiti, il Data Lake non potrà rendere disponibili per le query tutti e 90 i giorni di dati.
Come funzionano i limiti per i dispositivi
Si supponga di avere le seguenti licenze:
- 10 Intercept X Advanced with XDR
- 10 Intercept X Advanced for Server with XDR
In un periodo di 90 giorni, è possibile archiviare le seguenti quantità di dati:
- Fino a 18 GB di dati degli endpoint (10 licenze x 20 MB x 90 giorni)
- Fino a 36 GB di dati dei server (10 licenze x 40 MB x 90 giorni)
Se si supera uno dei limiti di archiviazione, rimuoveremo i dati meno recenti, fino a riportare i dati al di sotto del limite massimo.
Ad esempio, se gli endpoint caricano 40 MB al giorno (il doppio della media consentita per tutto il mese), raggiungeranno il limite dopo soli 45 giorni. A questo punto, inizieremo a rimuovere i dati meno recenti, per cui non sarà possibile eseguire query su tutti e 90 i giorni di storico dei dati.
Tuttavia, se i dispositivi caricano meno della quantità consentita, i loro dati verranno comunque conservati per un massimo di 90 giorni.
Limiti di archiviazione per Sophos Cloud Optix
È possibile configurare Sophos Cloud Optix in modo che invii i dati degli ambienti cloud al Data Lake. Se si opta per questa possibilità, ci saranno limiti di archiviazione sul Data Lake per i dati di Sophos Cloud Optix.
I dati provenienti da Sophos Cloud Optix vengono conservati nel Data Lake per 90 giorni o fino al raggiungimento del proprio limite di archiviazione, a seconda di quale condizione si verifichi prima. Il limite di archiviazione dipende dal numero di risorse cloud per cui si possiede una licenza.
Nel periodo di 90 giorni, è possibile archiviare fino a 1 MB al giorno per ciascuna risorsa cloud. Ad esempio, se si hanno 100 risorse cloud, è possibile archiviare sul Data Lake fino a 9 GB di dati provenienti da Sophos Cloud Optix (100 licenze x 1 MB x 90 giorni). Se si supera il limite di archiviazione, verranno rimossi i dati meno recenti, fino a riportare i dati al di sotto del limite massimo; di conseguenza, il Data Lake non potrà rendere disponibili per le query tutti e 90 i giorni di dati.
Esiste un limite anche per la quantità di dati che è possibile caricare in un giorno da Sophos Cloud Optix al Data Lake. Il limite giornaliero di caricamento dipende dal numero di risorse cloud per le quali si possiede una licenza. È possibile caricare fino a 1,25 MB al giorno per risorsa cloud. Ad esempio, se si hanno 100 risorse cloud, è possibile caricare fino a 125 MB di dati al giorno (100 licenze x 1,25 MB).
Se si raggiunge il limite giornaliero di caricamento, Sophos Cloud Optix interromperà il caricamento dei dati fino a quando il limite non verrà azzerato alle ore 00:00 UTC. Sophos Cloud Optix riprenderà quindi automaticamente il caricamento dei dati dal punto in cui era stato interrotto.