Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Para espaços de trabalho do Microsoft Sentinel conectados ao Defender, o gerenciamento de hierarquização e retenção deve ser feito a partir da nova experiência de gerenciamento de tabelas no portal do Defender. Para espaços de trabalho não anexados do Microsoft Sentinel, continue a usar as experiências descritas abaixo para gerenciar dados em seus espaços de trabalho.
Há dois aspetos concorrentes da coleta e retenção de logs que são essenciais para um programa de deteção de ameaças bem-sucedido. Por um lado, você deseja maximizar o número de fontes de log coletadas, para que tenha a cobertura de segurança mais abrangente possível. Por outro lado, você precisa minimizar os custos incorridos pela ingestão de todos esses dados.
Essas necessidades concorrentes exigem uma estratégia de gerenciamento de logs que equilibre a acessibilidade dos dados, o desempenho da consulta e os custos de armazenamento.
Este artigo discute as categorias de dados e os estados de retenção usados para armazenar e acessar seus dados. Ele também descreve as camadas de log que o Microsoft Sentinel oferece para criar uma estratégia de gerenciamento e retenção de logs.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Categorias de dados ingeridos
A Microsoft recomenda classificar os dados ingeridos no Microsoft Sentinel em duas categorias gerais:
Os principais dados de segurança são dados que contêm valor crítico de segurança. Esses dados são usados para monitoramento proativo em tempo real, alertas agendados e análises para detetar ameaças à segurança. Os dados precisam estar prontamente disponíveis para todas as experiências do Microsoft Sentinel quase em tempo real.
Dados de segurança secundários são dados suplementares, muitas vezes encontrados em logs verbosos e de alto volume. Esses dados têm um valor de segurança limitado, mas podem fornecer riqueza e contexto adicionais para deteções e investigações, ajudando a desenhar a imagem completa de um incidente de segurança. Não precisa estar prontamente disponível, mas deve ser acessível sob demanda, conforme necessário e em doses adequadas.
Dados de segurança primários
Esta categoria consiste em logs que contêm valor de segurança crítico para sua organização. Os principais casos de uso de dados de segurança para operações de segurança incluem:
Monitorização frequente. As regras de deteção de ameaças (análises) são executadas nesses dados em intervalos frequentes ou quase em tempo real.
Caça sob demanda. Consultas complexas são executadas nesses dados para executar buscas interativas e de alto desempenho para ameaças à segurança.
Correlação. Os dados dessas fontes são correlacionados com dados de outras fontes de dados de segurança primárias para detetar ameaças e criar histórias de ataque.
Apresentação regular de relatórios. Os dados dessas fontes estão prontamente disponíveis para serem compilados em relatórios regulares da integridade da segurança da organização, tanto para os tomadores de decisão de segurança quanto para os tomadores de decisão em geral.
Análise de comportamento. Os dados dessas fontes são usados para criar perfis de comportamento de linha de base para seus usuários e dispositivos, permitindo que você identifique comportamentos periféricos como suspeitos.
Alguns exemplos de fontes de dados primárias incluem:
- Registos de sistemas antivírus ou de deteção e resposta empresariais (EDR)
- Logs de autenticação
- Registos de auditoria de plataformas na nuvem
- Feeds de informações sobre ameaças
- Alertas de sistemas externos
Os logs que contêm dados de segurança primários devem ser armazenados usando a camada de análise.
Dados de segurança secundários
Esta categoria abrange logs cujo valor de segurança individual é limitado, mas são essenciais para fornecer uma visão abrangente de um incidente ou violação de segurança. Normalmente, estes registos são de alto volume e podem ser verbosos. Os casos de uso de operações de segurança para esses dados incluem o seguinte:
Inteligência de ameaças. Os dados primários podem ser verificados em relação a listas de Indicadores de Compromisso (IoC) ou Indicadores de Ataque (IoA) para detetar ameaças de forma rápida e fácil.
Caça/investigações ad hoc. Os dados podem ser consultados interativamente durante 30 dias, facilitando análises cruciais para a caça a ameaças e investigações.
Pesquisas em larga escala. Os dados podem ser ingeridos e pesquisados em segundo plano em escala de petabytes, enquanto são armazenados de forma eficiente com processamento mínimo.
Sumarização via tarefas KQL. Resuma logs de alto volume em informações agregadas e armazene os resultados na camada de análise.
Alguns exemplos de fontes de logs de dados secundárias são logs de acesso ao armazenamento em nuvem, logs do NetFlow, logs de certificados TLS/SSL, logs de firewall, logs de proxy e logs de IoT.
Para logs que contêm dados de segurança secundários, use o data lake do Microsoft Sentinel, projetado para oferecer recursos aprimorados de escalabilidade, flexibilidade e integração para cenários avançados de segurança e conformidade.
Camadas de gerenciamento de log
O Microsoft Sentinel fornece duas camadas ou tipos diferentes de armazenamento de log para acomodar essas categorias de dados ingeridos.
O plano de camada de analítica foi projetado para armazenar dados de segurança primários e torná-los facilmente e constantemente acessíveis com alto desempenho.
A camada de data lake é otimizada para armazenar dados de segurança secundários de forma econômica por longos períodos, mantendo a acessibilidade.
Nível de análise
A camada de análise mantém os dados no estado de retenção interativa por 90 dias por padrão, extensível por até dois anos. Este estado interativo, embora caro, permite que você consulte seus dados de forma ilimitada, com alto desempenho, sem nenhum custo por consulta.
Camada de data lake
O data lake do Microsoft Sentinel é um data lake moderno e totalmente gerenciado que unifica e retém dados de segurança em escala, permitindo análises avançadas em várias modalidades e deteção de ameaças alimentada por agentes de IA. Ele capacita as equipes de segurança a investigar ameaças de longo prazo, enriquecer alertas e criar linhas de base comportamentais usando meses de dados.
Quando a retenção total é configurada para ser maior do que a retenção da camada de análise, ou quando o período de retenção da camada de análise termina, os dados armazenados além da retenção da camada de análise continuam acessíveis na camada de data lake.
Conteúdos relacionados
- Para entender mais sobre o data lake do Microsoft Sentinel, consulte Data lake do Microsoft Sentinel.
- Para integrar ao data lake do Microsoft Sentinel, consulte Integrar dados ao data lake do Microsoft Sentinel.