Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os dados coletados no Microsoft Sentinel (SIEM) e no Microsoft Defender XDR são armazenados em tabelas. O portal do Microsoft Defender permite que você gerencie o período de retenção e os custos de armazenamento associados aos seus dados. Você pode gerenciar a retenção e os custos ao:
- Configure conectores de dados para enviar dados ao Microsoft Sentinel ou ao Microsoft Defender XDR.
- Gerencie suas tabelas e dados existentes.
Este artigo explica como gerenciar a retenção de tabelas e as opções de nível no portal do Microsoft Defender para otimizar as operações de segurança e reduzir custos no Microsoft Sentinel e no Microsoft Defender XDR.
Quais tabelas você pode gerenciar no portal do Defender?
Esta seção descreve os tipos de tabela que você pode gerenciar no portal do Microsoft Defender.
| Tipo de tabela | Descrição | Exemplos | Está no espaço de trabalho do Microsoft Sentinel? |
|---|---|---|---|
| Microsoft Sentinel | Tabelas embutidas, incluindo: - Tabelas do Azure, como AzureDiagnostics e SigninLogs. - Tabelas do Microsoft Sentinel. - Integração do Microsoft Defender XDR com o Microsoft Sentinel, que é criado em seu workspace do Microsoft Sentinel quando você aumenta o período de retenção de análise para além de 30 dias. Consulte as tabelas do tipo XDR do Defender XDR que, no momento, não têm suporte. |
- Tabelas do Azure: AzureDiagnostics, SigninLogs- Tabelas do Microsoft Sentinel: AWSCloudTrail, SecurityAlert- Tabelas XDR: DeviceEvents,AlertInfo |
Yes |
| Personalizado | Tabelas criadas manualmente ou por meio de trabalhos no seu espaço de trabalho do Microsoft Sentinel, incluindo tabelas de resultados de regras de resumo e de trabalhos de pesquisa, além de tabelas de fontes de dados personalizadas. | Tabelas com _CL ou _SRCH sufixos. |
Yes |
| XDR | Tabelas na camada padrão XDR, que por padrão têm 30 dias de retenção de dados de análise. Você pode exibir essas tabelas, mas não pode gerenciá-las no portal do Defender. | IdentityInfo |
Não |
Observação
Você pode exibir tabelas básicas de logs em seu workspace do Microsoft Sentinel no portal do Defender, mas só pode gerenciá-las no espaço de trabalho do Log Analytics no momento. Para gerenciar essas tabelas no portal do Defender, altere o plano de tabela de básico para análise no seu espaço de trabalho do Microsoft Sentinel.
Como funcionam as camadas de dados e a retenção
Você pode reter dados no Microsoft Sentinel em uma das duas camadas:
Camada de análise: essa camada disponibiliza dados para alertas, busca, pastas de trabalho e todos os recursos do Microsoft Sentinel. Ele retém dados em dois estados:
- Retenção de análise: nesse estado "quente", os dados estão totalmente disponíveis para análise em tempo real - incluindo consultas de alto desempenho e regras de análise - e busca de ameaças. Por padrão, o Microsoft Sentinel e o Microsoft Defender XDR retêm dados nessa camada por 30 dias. Você pode estender o período de retenção de todas as tabelas para até dois anos com uma taxa de retenção mensal proporcional de longo prazo. Você pode estender o período de retenção das tabelas de solução do Microsoft Sentinel para 90 dias gratuitamente.
- Retenção total: por padrão, todos os dados na camada de análise são espelhados no data lake para o mesmo período de retenção. Você pode estender a retenção de seus dados no lago além da retenção de análise, por até 12 anos de retenção total a um custo baixo.
Data lake tier: nesta camada "fria" de baixo custo, o Microsoft Sentinel mantém seus dados apenas no data lake. Os dados na camada data lake não estão disponíveis para recursos de análise em tempo real e busca de ameaças. No entanto, você pode acessar dados no data lake sempre que precisar por meio de tarefas KQL, analisar tendências ao longo do tempo executando tarefas agendadas de KQL ou Spark e agregar insights de dados de entrada em intervalos regulares usando regras de resumo.
Dados XDR: por padrão, os dados de busca de ameaças do Microsoft Defender XDR estão sempre disponíveis na camada de análise por 30 dias. Os clientes podem estender a retenção desses dados na camada de análise para até 90 dias, incluídos na licença XDR sem custo adicional. Você também pode ingerir exclusivamente na camada data lake, mas os dados estão sempre disponíveis na camada de análise por 30 dias nesse estado.
Para obter mais informações sobre as diferenças entre esses dois tipos de retenção, consulte Comparar as camadas de análise e data lake.
Este diagrama mostra os componentes de retenção das camadas padrão de análise, data lake e XDR e quais tipos de tabela se aplicam a cada camada:
Para obter mais informações sobre o data lake do Microsoft Sentinel, consulte o que é o data lake do Microsoft Sentinel.
Comparar as camadas de data lake e análise
Esta tabela compara as duas camadas de análise e data lake e suas principais características:
| Comparação | Camada de análise | Camada do data lake |
|---|---|---|
| Principais características | Consulta e indexação de alto desempenho para logs (também conhecida como retenção ativa ou interativa). | Retenção econômica a longo prazo de grandes volumes de dados (também conhecido como armazenamento a frio). |
| Mais adequado para | Regras de análise em tempo real, alertas, busca, pastas de trabalho e todos os recursos do Microsoft Sentinel. | – Registro de conformidade e regulatório. - Análise de tendências históricas e perícia. - Dados de baixo toque que não são necessários para alertas em tempo real. |
| Custo de ingestão | Standard | Mínimo |
| Preço da consulta incluído | ✅ | ❌ |
| Desempenho de consulta otimizado | ✅ |
❌ Consultas mais lentas. Bom para auditoria. Não otimizado para análise em tempo real. |
| Capacidades de consulta | Recursos completos de consulta nos portais do Microsoft Defender e do Azure e usando APIs. |
-
Recursos de consulta completos, incluindo uniões e junções. – Execute trabalhos agendados do KQL ou do Spark. – Usar Blocos de Anotações. |
| Conjunto completo de recursos de análise em tempo real | ✅ | ❌ Limitações na maioria dos recursos, incluindo regras de análise, consultas de busca, analisadores, watchlists, pastas de trabalho e guias estratégicos. |
| Trabalhos de pesquisa | ✅ | ✅ |
| Regras de resumo | ✅ | ✅ KQL completo em uma única tabela, que você pode estender com dados de uma tabela do Analytics usando a pesquisa |
| Restaurar | ✅ | ❌ Trabalhos de KQL e Notebook podem promover dados à camada de análise. |
| Exportação de dados | ✅ | ❌ |
| Período de retenção | 90 dias para o Microsoft Sentinel, 30 dias para o Microsoft Defender XDR. Pode ser estendido para até dois anos com uma taxa de retenção mensal proporcional de longo prazo. |
O mesmo que a retenção de dados analíticos, por padrão. Pode ser estendido para até 12 anos. |
O que acontece quando você modifica as configurações da tabela
Você pode alternar a camada e as configurações de retenção de uma tabela a qualquer momento.
Quando você altera a camada de uma tabela de análise para data lake, todas as consultas de análise e busca em tempo real param de funcionar.
Quando você reduz a retenção total de uma tabela, a Microsoft aguarda 30 dias antes de remover os dados, para que você possa reverter a alteração e evitar a perda de dados se você tiver cometido um erro na configuração.
Quando você aumenta a retenção total, o novo período de retenção se aplica a todos os dados já ingeridos pela tabela e que ainda não foram removidos.
Quando você altera as configurações de retenção de análise de uma tabela com dados existentes, a alteração entra em vigor imediatamente.
Exemplo:
- Você tem uma tabela na camada de análise com 180 dias de retenção de dados analíticos. Por padrão, a retenção total também é definida como 180 dias.
- Você altera a retenção de análise para 90 dias sem alterar o período total de retenção de 180 dias.
- O Microsoft Sentinel remove automaticamente os últimos 90 dias de dados da retenção de análise, mas continua armazenando dados de 90 a 180 dias no data lake.
Gerenciar dados XDR no Microsoft Sentinel
Por padrão, o Microsoft Defender XDR retém dados de busca de ameaças na camada padrão XDR por 30 dias. Esses dados não são ingeridos nas camadas de análise ou data lake por padrão. Se você estender o período de retenção das tabelas XDR com suporte para além de 30 dias, as tabelas serão criadas no espaço de trabalho do Microsoft Sentinel em nível de análise e replicadas para a camada de data lake.
Se você habilitar o conector XDR do Microsoft Sentinel no portal do Azure, as tabelas selecionadas durante a instalação serão ingeridas automaticamente na camada de análise e espelhadas na camada data lake. A retenção padrão é de 30 dias e você pode estendê-la até 12 anos. Para obter uma lista de tabelas, consulte a integração do Microsoft Defender XDR ao Microsoft Sentinel. Você pode ingestir tabelas XDR compatíveis, que você não selecionou durante a implantação do conector, na camada de análise e espelhá-las na camada do data lake, definindo a retenção para mais de 30 dias.
Se você não habilitar o conector XDR do Microsoft Sentinel, as tabelas XDR não serão ingeridas automaticamente, mas você ainda poderá ingeri-las definindo a análise ou a retenção da camada de data lake por mais de 30 dias no portal do Defender.
Você pode optar por ingerir tabelas XDR compatíveis exclusivamente na camada Data Lake selecionando a opção camada Data Lake ao configurar as definições de retenção. Para obter mais informações, consulte Configurar a retenção e a hierarquização de dados.
Pare de ingerir dados na camada de análise redefinindo a retenção da camada de análise e a retenção total para os 30 dias padrão. Essa ação desabilita o conector no portal do Azure.
Para obter mais informações sobre como gerenciar suas tabelas e dados, consulte Gerenciar suas tabelas e dados existentes.
Retenção e custos de dados XDR
As tabelas a seguir resumem os períodos de retenção gratuitos e as implicações de custo para as diferentes camadas no Microsoft Sentinel:
| Camada | Retention | Anotações |
|---|---|---|
| Busca Avançada (Padrão) | 30 dias | Padrão, incluído na licença XDR |
| Camada de análise | 90 dias | Armazenamento gratuito para espaços de trabalho habilitados para Sentinel. As taxas de ingestão são aplicáveis. |
| Lago de dados | Configurável. Por padrão, o mesmo que a camada de análise de dados. | Armazenamento gratuito quando a retenção total é igual à retenção do nível de análise. Reter dados no data lake além do período de retenção da camada de análise ou exclusivamente na camada data lake incorre em custos de armazenamento adicionais. |
Para obter mais informações sobre cobrança e custos, consulte Entenda o modelo de cobrança completo do Microsoft Sentinel
Nos exemplos a seguir, os dados XDR estão disponíveis por meio da busca avançada por pelo menos 30 dias, independentemente das configurações de retenção nas camadas de data lake ou análise.
| Retenção da camada de serviço de análise | Retenção total | Custos de ingestão da camada de serviço de análise | Custos de armazenamento da camada de análise | Custos da camada de serviço de data lake |
|---|---|---|---|---|
| Configuração padrão de 30 dias | Configuração padrão de 30 dias | Sem custos adicionais | N/A | N/A |
| 90 dias | 90 dias | Os custos se aplicam à ingestão da camada de serviço de análise. | Nenhum custo adicional. 90 dias gratuitos incluídos. | Nenhum custo adicional. A retenção total é igual à retenção do nível de análise. |
| 90 dias | 180 dias | Os custos se aplicam à ingestão da camada de serviço de análise. | Sem custos adicionais; 90 dias incluídos gratuitos. | Os custos se aplicam a 90 dias de retenção de data lake adicional (180 a 90 dias). |
| 180 dias | 1 ano | Os custos se aplicam à ingestão da camada de serviço de análise. | Os custos se aplicam a 90 dias de retenção de camada se serviço de análise adicional. | Os custos se aplicam a 185 dias de retenção adicional do data lake (365 - 180 dias). |
| 0 dias (somente data lake) | 5 anos | N/A | N/A | Os custos se aplicam à ingestão e a cinco anos de retenção do data lake. |
Próximas etapas
Saiba mais sobre: