Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os dados coletados no Microsoft Sentinel (SIEM) e no Microsoft Defender XDR são armazenados em tabelas. O portal do Microsoft Defender permite gerenciar o período de retenção e os custos de armazenamento associados aos seus dados. Você pode gerenciar a retenção e os custos quando:
- Configure conectores de dados para enviar dados para o Microsoft Sentinel ou Microsoft Defender XDR.
- Gerencie suas tabelas e dados existentes.
Este artigo explica como gerenciar a retenção de tabela e as opções de camada no portal do Microsoft Defender para otimizar as operações de segurança e reduzir custos no Microsoft Sentinel e no Microsoft Defender XDR.
Que tabelas pode gerir no portal Defender?
Esta secção descreve os tipos de tabelas que pode gerir no portal Microsoft Defender.
| Tipo de tabela | Descrição | Exemplos | Está no espaço de trabalho do Microsoft Sentinel? |
|---|---|---|---|
| Sentinela da Microsoft | Tabelas incorporadas, incluindo: - Tabelas do Azure, como AzureDiagnostics e SigninLogs. - Tabelas Microsoft Sentinel. - Integração do Microsoft Defender XDR com o Microsoft Sentinel, que são criadas no seu espaço de trabalho do Microsoft Sentinel quando o período de retenção de análises é ampliado para além de 30 dias. Consulte o tipo de tabela XDR para tabelas XDR do Defender que não são suportadas no momento. |
- Tabelas do Azure: AzureDiagnostics, SigninLogs- Tabelas Microsoft Sentinel: AWSCloudTrail, SecurityAlert- Tabelas XDR: DeviceEvents,AlertInfo |
Yes |
| Personalizado | Tabelas criadas manualmente ou por meio de trabalhos no espaço de trabalho do Microsoft Sentinel, incluindo regras de resumo e tabelas de resultados de trabalhos de pesquisa e tabelas de fontes de dados personalizadas. | Tabelas com _CL ou _SRCH sufixos. |
Yes |
| XDR | Tabelas na camada padrão XDR, que têm 30 dias de retenção de dados analíticos como padrão. Você pode visualizar essas tabelas, mas não pode gerenciá-las no portal do Defender. | IdentityInfo |
Não |
Observação
Você pode exibir tabelas de logs básicos em seu espaço de trabalho do Microsoft Sentinel no portal do Defender, mas atualmente só pode gerenciá-las a partir do espaço de trabalho do Log Analytics. Para gerenciar essas tabelas a partir do portal do Defender, altere o plano de tabela de básico para analítico em seu espaço de trabalho do Microsoft Sentinel.
Como funcionam as camadas de dados e a retenção
Você pode reter dados no Microsoft Sentinel em uma das duas camadas:
Camada de análise: essa camada disponibiliza dados para alertas, busca, pastas de trabalho e todos os recursos do Microsoft Sentinel. Ele retém dados em dois estados:
- Retenção de análises: neste estado "quente", os dados estão totalmente disponíveis para análises em tempo real - incluindo consultas de alto desempenho e regras de análise - e caça a ameaças. Por padrão, o Microsoft Sentinel e o Microsoft Defender XDR retêm dados nessa camada por 30 dias. Você pode estender o período de retenção de todas as tabelas para até dois anos mediante o pagamento de uma taxa mensal de retenção a longo prazo proporcional. Você pode estender o período de retenção das tabelas de solução do Microsoft Sentinel para 90 dias gratuitamente.
- Retenção total: por padrão, todos os dados na camada de análise são espelhados no data lake pelo mesmo período de retenção. Você pode estender a retenção de seus dados no lago além da retenção de análises, por até 12 anos de retenção total a um baixo custo.
Camada de data lake: nesta camada "fria" de baixo custo, a Microsoft Sentinel retém os seus dados somente no data lake. Os dados na camada data lake não estão disponíveis para recursos de análise em tempo real e caça a ameaças. No entanto, você pode acessar dados no lago sempre que precisar deles por meio de trabalhos KQL, analisar tendências ao longo do tempo executando trabalhos agendados do KQL ou do Spark e agregar insights de dados recebidos em uma cadência regular usando regras de resumo.
Dados XDR: Por defeito, os dados de investigação de ameaças do Microsoft Defender XDR estão sempre disponíveis na camada de análise durante 30 dias. Os clientes podem prolongar a retenção destes dados no nível de análise até 90 dias, incluídos na licença XDR, sem custos adicionais. Também pode ingerir exclusivamente no nível do data lake, mas os dados estão sempre disponíveis no nível de análise durante 30 dias neste estado.
Para obter mais informações sobre as diferenças entre esses dois tipos de retenção, consulte Comparar as camadas de análises e de data lake.
Este diagrama mostra os componentes de retenção das camadas padrão de análise, data lake e XDR e quais tipos de tabela se aplicam a cada camada:
Para obter mais informações sobre o data lake do Microsoft Sentinel, consulte O que é o data lake do Microsoft Sentinel.
Compare as camadas de análise e data lake
Esta tabela compara as duas camadas de análise e data lake e suas principais características:
| Comparação | Nível de análise | Camada de data lake |
|---|---|---|
| Características principais | Indexação e consulta de alto desempenho para logs (também conhecida como retenção quente ou interativa). | Retenção econômica e de longo prazo de grandes volumes de dados (também conhecida como armazenamento refrigerado). |
| Melhor para | Regras de análise em tempo real, alertas, caça, pastas de trabalho e todos os recursos do Microsoft Sentinel. | - Conformidade e registro regulatório. - Análise de tendências históricas e forenses. - Dados de baixa interação que não são necessários para alertas em tempo real. |
| Custo de ingestão | Standard | Mínimo |
| Preço de consulta incluído | ✅ | ❌ |
| Desempenho otimizado de consulta | ✅ |
❌ Consultas mais lentas. Bom para auditorias. Não otimizado para análise em tempo real. |
| Capacidades de consulta | Capacidades completas de consulta nos portais Microsoft Defender e Azure e usando APIs. |
-
Recursos completos de consulta, incluindo uniões e junções. - Executar trabalhos agendados KQL ou Spark. - Use Portáteis. |
| Conjunto completo de recursos de análise em tempo real | ✅ | ❌ Limitações em alguns recursos, incluindo regras de análise, consultas de caça, analisadores, listas de observação, pastas de trabalho e playbooks. |
| Pesquisar Ofertas de Emprego | ✅ | ✅ |
| Regras sumárias | ✅ | ✅ KQL completo em uma única tabela, que você pode estender com dados de uma tabela de análise usando pesquisa |
| Restaurar | ✅ | ❌ As tarefas de KQL e Notebook podem promover dados para a camada de análise. |
| Exportação de dados | ✅ | ❌ |
| Período de retenção | 90 dias para o Microsoft Sentinel, 30 dias para o Microsoft Defender XDR. Pode ser estendido até um máximo de dois anos com uma taxa de retenção de longo prazo cobrada mensalmente de forma proporcional. |
O mesmo que retenção de análise, por padrão. Pode ser prorrogado até 12 anos. |
O que acontece quando você modifica as configurações da tabela
Você pode alternar as configurações de camada e retenção de uma tabela a qualquer momento.
Quando você altera a camada de uma tabela de análise para data lake, todas as consultas de análise e busca em tempo real param de funcionar.
Quando você reduz a retenção total de uma tabela, a Microsoft aguarda 30 dias antes de remover os dados, para que você possa reverter a alteração e evitar a perda de dados se você tiver cometido um erro na configuração.
Quando você aumenta a retenção total, o novo período de retenção se aplica a todos os dados que já foram ingeridos na tabela e ainda não foram removidos.
Quando você altera as configurações de retenção de análise de uma tabela com dados existentes, a alteração entra em vigor imediatamente.
Exemplo:
- Você tem uma tabela no nível de análise com 180 dias de retenção de dados analíticos. Por padrão, a retenção total também é definida como 180 dias.
- Você altera a retenção de análise para 90 dias sem alterar o período de retenção total de 180 dias.
- O Microsoft Sentinel remove automaticamente os últimos 90 dias de dados da retenção analítica, mas continua a armazenar dados que estão entre 90 e 180 dias no data lake.
Gerenciar dados XDR no Microsoft Sentinel
Por defeito, o Microsoft Defender XDR mantém os dados de caça a ameaças no nível padrão XDR durante 30 dias. Esses dados não são ingeridos nas camadas de análise ou data lake por padrão. Se você estender o período de retenção das tabelas XDR suportadas além de 30 dias, as tabelas serão criadas em seu espaço de trabalho do Microsoft Sentinel na camada de análise e espelhadas na camada de data lake.
Se ativar o conector Microsoft Sentinel XDR no portal do Azure, as tabelas que selecionar durante a configuração serão automaticamente ingeridas na camada de análise e replicadas na camada de data lake. A retenção padrão é de 30 dias, e pode estendê-la até 12 anos. Para uma lista de tabelas, veja integração do Microsoft Defender XDR com o Microsoft Sentinel. Podes ingerir tabelas XDR suportadas que não selecionaste durante a implementação do conector para a camada de analytics e espelhá-las para a camada do data lake, definindo a retenção para mais de 30 dias.
Se não ativares o conector Microsoft Sentinel XDR, as tabelas XDR não são ingeridas automaticamente, mas ainda podes ingeri-las definindo análises ou retenção de níveis de data lake por mais de 30 dias no portal Defender.
Pode optar por ingerir tabelas XDR suportadas exclusivamente na camada Data Lake Tier ao configurar as definições de retenção. Para mais informações, consulte Configurar retenção e gestão de dados.
Pare de ingerir dados na camada de análise redefinindo a retenção da camada de análise e a retenção total para os 30 dias padrão. Esta ação desativa o conector no portal Azure.
Para obter mais informações sobre como gerenciar suas tabelas e dados, consulte Gerenciar suas tabelas e dados existentes.
Retenção de dados XDR e custos
As tabelas a seguir resumem os períodos de retenção gratuitos e as implicações de custo para as diferentes camadas no Microsoft Sentinel:
| Escalão de serviço | Retention | Observações |
|---|---|---|
| Caça avançada (padrão) | 30 dias | Padrão, incluído na licença XDR |
| Nível de análise | 90 dias | Armazenamento gratuito para espaços de trabalho habilitados para Sentinel. Aplicam-se taxas de ingestão. |
| Lago de dados | Configurável. Por padrão, o mesmo que a camada de análise. | O armazenamento é gratuito quando a retenção total é igual à retenção na camada de análise. Reter dados no data lake para além do período de retenção do nível analítico, ou exclusivamente no nível do data lake, implica custos adicionais de armazenamento. |
Para obter mais informações sobre cobrança e custos, consulte Compreender o modelo de faturamento completo do Microsoft Sentinel
Nos exemplos a seguir, os dados XDR estão disponíveis através de investigação avançada por pelo menos 30 dias, independentemente das definições de armazenamento nas camadas de análise de dados ou data lake.
| Retenção de camadas do Google Analytics | Retenção total | Custos de ingestão de camadas de análise | Custos de armazenamento da camada de análise | Custos da camada de data lake |
|---|---|---|---|---|
| Definição padrão de 30 dias | Definição padrão de 30 dias | Sem custos adicionais | N/A | N/A |
| 90 dias | 90 dias | Os custos aplicam-se à ingestão de dados da camada de análise. | Sem custos adicionais. 90 dias incluídos grátis. | Sem custos adicionais. A retenção total corresponde à retenção da camada analítica. |
| 90 dias | 180 dias | Os custos aplicam-se à ingestão de dados da camada de análise. | Sem custos adicionais; 90 dias incluídos grátis. | Os custos incidem sobre 90 dias adicionais de retenção do data lake (180 - 90 dias). |
| 180 dias | 1 ano | Os custos aplicam-se à ingestão de dados da camada de análise. | Os custos aplicam-se a 90 dias de retenção adicional da camada de análise. | Os custos aplicam-se a 185 dias de retenção adicional do data lake (365 - 180 dias). |
| 0 dias (apenas data lake) | 5 anos | N/A | N/A | Os custos aplicam-se à ingestão e a 5 anos de retenção do data lake. |
Próximos passos
Saiba mais sobre: