Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los datos que recopila en Microsoft Sentinel (SIEM) y XDR de Microsoft Defender se almacenan en tablas. El portal de Microsoft Defender le permite administrar el período de retención y los costos de almacenamiento asociados a los datos. Puede administrar la retención y los costos cuando:
- Configure conectores de datos para enviar datos a Microsoft Sentinel o Microsoft Defender XDR.
- Administre las tablas y los datos existentes.
En este artículo se explica cómo administrar las opciones de retención y nivel de tabla en el portal de Microsoft Defender para optimizar las operaciones de seguridad y reducir los costos en Microsoft Sentinel y en Microsoft Defender XDR.
¿Qué tablas puede administrar en el portal de Defender?
En esta sección se describen los tipos de tabla que puede administrar en el portal de Microsoft Defender.
| Tipo de tabla | Descripción | Ejemplos | ¿Está en el área de trabajo de Microsoft Sentinel? |
|---|---|---|---|
| Microsoft Sentinel | Tablas integradas, entre las que se incluyen: - Tablas de Azure, como AzureDiagnostics y SigninLogs. - Tablas de Microsoft Sentinel. - Integración de Microsoft Defender XDR con Microsoft Sentinel, que se crean en su área de trabajo de Microsoft Sentinel cuando aumenta el período de retención de análisis más allá de 30 días. Consulte el tipo de tabla XDR para las tablas XDR de Defender que no se admiten actualmente. |
- Tablas de Azure: AzureDiagnostics, SigninLogs- Tablas de Microsoft Sentinel: AWSCloudTrail, SecurityAlert- Tablas XDR: DeviceEvents,AlertInfo |
Sí |
| Personalizada | Tablas que creas manualmente o a través de trabajos en tu área de trabajo de Microsoft Sentinel, incluidas las tablas de resultados de reglas de resumen y de trabajos de búsqueda, y las tablas de orígenes de datos personalizados. | Tablas con el sufijo _CL o el sufijo _SRCH. |
Sí |
| XDR | Tablas en el nivel predeterminado de XDR, que tienen una retención de análisis de 30 días por defecto. Puede ver estas tablas, pero no puede administrarlas desde el portal de Defender. | IdentityInfo |
No |
Nota:
Puede ver las tablas de registros básicos en el área de trabajo de Microsoft Sentinel desde el portal de Defender, pero actualmente solo puede administrarlas desde el área de trabajo de Log Analytics. Para administrar estas tablas desde el portal de Defender, cambie el plan de tabla de básico a análisis en el área de trabajo de Microsoft Sentinel.
Cómo funcionan los niveles de datos y la retención
Puede conservar los datos en Microsoft Sentinel en uno de los dos niveles:
Nivel de análisis: este nivel pone los datos a disposición de las alertas, la búsqueda, los libros y todas las características de Microsoft Sentinel. Conserva los datos en dos estados:
- Retención de datos analíticos: en este estado "activo", los datos están totalmente disponibles para el análisis en tiempo real, incluidas las consultas de alto rendimiento, las reglas de análisis y la búsqueda de amenazas. De forma predeterminada, Microsoft Sentinel y XDR de Microsoft Defender conservan los datos en este nivel durante 30 días. Puede ampliar el período de retención de todas las tablas hasta dos años con un cargo prorrateado de retención a largo plazo mensual. Puede ampliar el período de retención de las tablas de soluciones de Microsoft Sentinel a 90 días de forma gratuita.
- Retención total: de forma predeterminada, todos los datos del nivel de análisis se reflejan en el lago de datos durante el mismo período de retención. Puede ampliar la retención de los datos en el lago más allá de la retención de análisis, hasta 12 años de retención total a un costo bajo.
Capa de lago de datos: en este nivel de "frío" de bajo costo, Microsoft Sentinel solo conserva los datos en el lago. Los datos en el nivel de data lake no están disponibles para funciones de análisis en tiempo real y la detección de amenazas. Sin embargo, puede acceder a los datos del lago siempre que lo necesite a través de trabajos de KQL, analizar tendencias a lo largo del tiempo mediante la ejecución de trabajos de KQL o Spark programados, y agregar información de los datos entrantes a una cadencia regular mediante reglas de resumen.
Datos XDR: de forma predeterminada, los datos de búsqueda de amenazas de XDR de Microsoft Defender siempre están disponibles en el nivel de análisis durante 30 días. Los clientes pueden ampliar la retención de estos datos en el nivel de análisis hasta 90 días, incluidos en la licencia XDR sin costo adicional. También puede ingerir exclusivamente en el nivel de lago de datos, pero los datos siempre están disponibles en el nivel de análisis durante 30 días en este estado.
Para más información sobre las diferencias entre estos dos tipos de retención, consulte Comparación de los niveles de análisis y lago de datos.
En este diagrama se muestran los componentes de retención de los niveles predeterminados de análisis, lago de datos y XDR, y qué tipos de tabla se aplican a cada nivel:
Para obtener más información sobre el lago de datos de Microsoft Sentinel, consulte ¿Qué es el lago de datos de Microsoft Sentinel?
Comparación de los niveles de análisis y lago de datos
En esta tabla se comparan los dos niveles de análisis y lago de datos y sus características clave:
| Comparación | Nivel de análisis | Capa de Lago de datos |
|---|---|---|
| Características clave | Consulta e indexación de alto rendimiento para registros (también conocida como retención activa o interactiva). | Retención a largo plazo rentable de grandes volúmenes de datos (también conocido como almacenamiento en frío). |
| Más adecuado para | Reglas de análisis en tiempo real, alertas, búsqueda, cuadernos de trabajo y todas las características de Microsoft Sentinel. | - Cumplimiento y registro normativo. - Análisis histórico de tendencias y análisis forense. - Datos de baja intervención que no son necesarios para las alertas en tiempo real. |
| Costo de ingesta | Estándar | Mínimo |
| Precio de consulta incluido | ✅ | ❌ |
| Rendimiento optimizado de consultas | ✅ |
❌ Consultas más lentas. Adecuado para auditorías. No optimizado para el análisis en tiempo real. |
| Funciones de consultas | Funcionalidades de consulta completas en Los portales de Microsoft Defender y Azure y mediante las API. |
-
Funcionalidades de consulta completas, incluidas uniones y combinaciones. - Ejecutar trabajos de KQL o Spark programados. - Usar cuadernos. |
| Conjunto completo de características de análisis en tiempo real | ✅ | ❌ Limitaciones de algunas características, como reglas de análisis, consultas de búsqueda, analizadores, listas de reproducción, libros y cuadernos de estrategias. |
| Trabajos de búsqueda | ✅ | ✅ |
| Reglas de resumen | ✅ | ✅ KQL completo en una sola tabla, que puede ampliar con datos de una tabla de Analytics mediante la búsqueda |
| Restaurar | ✅ | Las tareas KQL ❌ y Notebook pueden promover datos al nivel de análisis. |
| Exportación de datos | ✅ | ❌ |
| Período de retención | 90 días para Microsoft Sentinel, 30 días para XDR de Microsoft Defender. Se puede extender hasta dos años a un cargo prorrateado mensual de retención a largo plazo. |
Igual que la retención de datos de análisis, de forma predeterminada. Se puede extender hasta 12 años. |
¿Qué ocurre cuando se modifica la configuración de la tabla?
Puede cambiar la configuración de nivel y retención de una tabla en cualquier momento.
Al cambiar el nivel de una tabla de análisis a lago de datos, todas las consultas de búsqueda y análisis en tiempo real dejan de funcionar.
Al acortar la retención total de una tabla, Microsoft espera 30 días antes de quitar los datos, por lo que puede revertir el cambio y evitar la pérdida de datos si ha producido un error en la configuración.
Al aumentar la retención total, el nuevo periodo de retención se aplica a todos los datos que ya se habían ingerido en la tabla y aún no se habían eliminado.
Al cambiar la configuración de retención de análisis de una tabla con datos existentes, el cambio surte efecto inmediatamente.
Ejemplo:
- Tiene una tabla en el nivel de análisis con 180 días de retención de análisis. De forma predeterminada, la retención total también se establece en 180 días.
- Puede cambiar la retención de análisis a 90 días sin cambiar el período de retención total de 180 días.
- Microsoft Sentinel quita automáticamente los últimos 90 días de datos de la retención de análisis, pero continúa almacenando datos de 90 a 180 días en el lago de datos.
Administración de datos de XDR en Microsoft Sentinel
De forma predeterminada, XDR de Microsoft Defender conserva los datos de búsqueda de amenazas en el nivel predeterminado XDR durante 30 días. Estos datos no se ingieren en los niveles de análisis o lago de datos de forma predeterminada. Si amplía el período de retención de las tablas de XDR admitidas más allá de 30 días, las tablas se crean en el área de trabajo de Microsoft Sentinel en el nivel de análisis y se reflejan en el nivel de lago de datos.
Si habilita el conector XDR de Microsoft Sentinel en Azure Portal, las tablas que seleccione durante la instalación se ingieren automáticamente en el nivel de análisis y se reflejan en el nivel de lago de datos. La retención predeterminada es de 30 días y puede extenderla hasta 12 años. Para obtener una lista de tablas, consulte Integración de XDR de Microsoft Defender con Microsoft Sentinel. Puede ingerir tablas XDR compatibles que no haya seleccionado durante la implementación del conector en la capa de análisis y duplicarlas en la capa del lago de datos estableciendo la retención en más de 30 días.
Si no habilita el conector Microsoft Sentinel XDR, las tablas XDR no se ingieren automáticamente, pero aún puede ingerirlas configurando la retención de la capa de análisis o del lago de datos durante más de 30 días en el portal de Defender.
Puede optar por ingerir tablas XDR admitidas exclusivamente en el nivel de lago de datos seleccionando la opción nivel de lago de datos al configurar la configuración de retención. Para obtener más información, consulte Configuración de la retención de datos y la creación de niveles.
Detenga la ingesta de datos en el nivel de análisis restableciendo la retención del nivel de análisis y la retención total en los 30 días predeterminados. Esta acción deshabilita el conector en Azure Portal.
Para más información sobre cómo administrar las tablas y los datos, consulte Administración de las tablas y datos existentes.
Retención y costos de datos de XDR
En las tablas siguientes, se resumen los períodos de retención gratuitos y las implicaciones de costos para los distintos niveles de Microsoft Sentinel:
| Nivel | Retention | Notas |
|---|---|---|
| Búsqueda avanzada (valor predeterminado) | 30 días | Valor predeterminado, incluido en la licencia de XDR |
| Nivel de análisis | 90 días | Almacenamiento gratuito para áreas de trabajo habilitadas para Sentinel. Se aplican cargos de ingesta. |
| Data Lake | Configurable De forma predeterminada, igual que el nivel de análisis. | Almacenamiento gratuito cuando la retención total es la misma que la retención del nivel de análisis. La retención de datos en el lago de datos más allá del período de retención del nivel de análisis, o exclusivamente en el nivel de lago de datos, incurre en costos de almacenamiento adicionales. |
Para más información sobre la facturación y los costos, consulte Descripción del modelo de facturación completo para Microsoft Sentinel
En los ejemplos siguientes, los datos de XDR están disponibles a través de la búsqueda avanzada durante al menos 30 días, independientemente de la configuración de retención en los niveles de análisis o lago de datos.
| Retención de niveles de análisis | Retención total | Costos de ingesta de niveles de análisis | Costos de almacenamiento de nivel de análisis | Costos de capa de lago de datos |
|---|---|---|---|---|
| Valor predeterminado de 30 días | Valor predeterminado de 30 días | Sin costos adicionales. | N/A | N/A |
| 90 días | 90 días | Los costos se aplican a la ingesta de niveles de análisis. | Sin costos adicionales. 90 días incluidos gratis. | Sin costos adicionales. La retención total coincide con la retención del nivel de análisis. |
| 90 días | 180 días | Los costos se aplican a la ingesta de niveles de análisis. | Sin costos adicionales; 90 días incluidos gratis. | Se aplican costos por 90 días adicionales de retención en el lago de datos (de 180 a 90 días). |
| 180 días | 1 año | Los costos se aplican a la ingesta de niveles de análisis. | Se aplican costos por 90 días adicionales de retención en el nivel de análisis. | Se aplican costos por 185 días adicionales de retención en el lago de datos (de 365 a 180 días). |
| 0 días (solo lago de datos) | 5 años | N/A | N/A | Se aplican costes por ingestión y por 5 años de retención de datos en el lago de datos. |
Pasos siguientes
Más información sobre: