Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para os workspaces do Microsoft Sentinel conectados ao Defender, o gerenciamento de camadas e retenção deve ser feito a partir da nova experiência de gerenciamento de tabela no portal do Defender. Para workspaces do Microsoft Sentinel desanexados, continue usando as experiências descritas abaixo para gerenciar dados em seus workspaces.
Há dois aspectos concorrentes de retenção e coleta de logs que são essenciais para um programa de detecção de ameaças bem-sucedido. Por um lado, você quer maximizar o número de fontes de log coletadas, para que você tenha a cobertura de segurança mais abrangente possível. Por outro lado, você precisa minimizar os custos incorridos pela ingestão de todos esses dados.
Essas necessidades concorrentes exigem uma estratégia de gerenciamento de logs que equilibra a acessibilidade aos dados, o desempenho da consulta e os custos de armazenamento.
Este artigo discute categorias de dados e os estados de retenção usados para armazenar e acessar seus dados. Ele também descreve as camadas de log que o Microsoft Sentinel oferece para criar uma estratégia de retenção e gerenciamento de logs.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Categorias de dados ingeridos
A Microsoft recomenda classificar os dados ingeridos no Microsoft Sentinel em duas categorias gerais:
Dados de segurança primários são dados que contêm um valor de segurança crítico. Esses dados são usados para monitoramento proativo em tempo real, alertas agendados e análise para detectar ameaças à segurança. Os dados precisam estar prontamente disponíveis para todas as experiências do Microsoft Sentinel quase em tempo real.
Dados de segurança secundários são dados complementares, geralmente em logs detalhados de alto volume. Esses dados são de valor limitado de segurança, mas podem fornecer mais riqueza e contexto para detecções e investigações, ajudando a descrever um incidente de segurança completo. Eles não precisam estar prontamente disponível, mas devem ser acessíveis sob demanda conforme necessário e em doses apropriadas.
Dados de segurança primários
Essa categoria consiste em logs que contêm um valor crítico de segurança para sua organização. Os principais casos de uso de dados de segurança para operações de segurança incluem:
Monitoramento frequente. As regras de detecção de ameaças (análise) são executadas nesses dados em intervalos frequentes ou quase em tempo real.
Caça sob demanda. Consultas complexas são executadas nesses dados para executar a busca interativa e de alto desempenho por ameaças à segurança.
Correlação. Os dados dessas fontes estão correlacionados com dados de outras fontes primárias de dados de segurança para detectar ameaças e criar histórico de ataque.
Relatórios regulares. Os dados dessas fontes estão prontamente disponíveis para compilação em relatórios regulares da integridade de segurança da organização, para os tomadores de decisões gerais e de segurança.
Análise de comportamento. Os dados dessas fontes são usados para criar perfis de comportamento de linha de base de seus usuários e dispositivos, permitindo que você identifique comportamentos subjacentes como suspeitos.
Alguns exemplos de fontes de dados primárias incluem:
- Logs de antivírus ou sistemas EDR (detecção e resposta corporativa)
- Logs de autenticação
- Trilhas de auditoria das plataformas de computação em nuvem
- Feeds de inteligência contra ameaças
- Alertas de sistemas externos
Os logs que contêm dados de segurança primários devem ser armazenados usando a camada de análise.
Dados de segurança secundários
Essa categoria abrange logs cujo valor de segurança individual é limitado, mas são essenciais para fornecer uma visão abrangente de um incidente ou violação de segurança. Normalmente, esses logs são de alto volume e podem ser detalhados. Os casos de uso das operações de segurança para esses dados incluem o seguinte:
Inteligência contra ameaças. Os dados primários podem ser verificados em relação a listas de Indicadores de Comprometimento (IoC) ou Indicadores de Ataque (IoA) para detectar ameaças de forma rápida e fácil.
Busca/investigações ad hoc. Os dados podem ser consultados interativamente por 30 dias, facilitando a análise crucial para busca e investigações de ameaças.
Pesquisas em larga escala. Os dados podem ser ingeridos e pesquisados em segundo plano em escala de petabytes, enquanto são armazenados de forma eficiente com processamento mínimo.
Sumarização por meio de tarefas KQL Resumir logs de alto volume em informações de agregação e armazenar os resultados na camada de análise.
Alguns exemplos de fontes secundárias de log de dados são logs de acesso ao armazenamento na nuvem, logs do NetFlow, logs de certificado TLS/SSL, logs de firewall, logs de proxy e logs de IoT.
Para logs que contêm dados de segurança secundários, use o data lake do Microsoft Sentinel, que foi projetado para oferecer funcionalidades avançadas de escalabilidade, flexibilidade e integração para cenários avançados de segurança e conformidade.
Camadas de gerenciamento de logs
O Microsoft Sentinel fornece duas camadas de armazenamento de log ou tipos diferentes para acomodar essas categorias de dados ingeridos.
O plano de camada de análise foi criado para armazenar dados de segurança primários e torná-los acessíveis em alto desempenho de maneira fácil e constante.
A camada do data lake é otimizada para armazenar dados de segurança secundários de maneira econômica por longos períodos, mantendo a acessibilidade.
Camada de análise
A camada de análise mantém os dados no estado de retenção interativa por 90 dias por padrão, extensível para até dois anos. Esse estado interativo, embora caro, permite que você consulte seus dados de forma ilimitada, com alto desempenho, sem custo por consulta.
Camada do data lake
O data lake do Microsoft Sentinel é um moderno data lake totalmente gerenciado que unifica e retém os dados de segurança em escala, permitindo análises avançadas em várias modalidades e detecção de ameaças por agentes de IA. Ele capacita as equipes de segurança a investigar ameaças de longo prazo, enriquecer alertas e criar linhas de base comportamentais usando meses de dados.
Quando a retenção total é configurada para ser maior que a retenção da camada de análise ou quando o período de retenção da camada de análise termina, os dados armazenados além da retenção da camada de análise continuam acessíveis na camada data lake.
Conteúdo relacionado
- Para entender mais sobre o Data Lake do Microsoft Sentinel, consulte o data lake do Microsoft Sentinel.
- Para integrar ao data lake do Microsoft Sentinel, consulte Integrar dados ao data lake do Microsoft Sentinel.