Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para Microsoft Sentinel áreas de trabajo conectadas a Defender, la administración de niveles y retención debe realizarse desde la nueva experiencia de administración de tablas en el portal de Defender. En el caso de las áreas de trabajo de Microsoft Sentinel sin asociar, siga usando las experiencias que se describen a continuación para administrar los datos en las áreas de trabajo.
Hay dos aspectos de la retención y la recopilación de registros que son fundamentales para un programa de detección de amenazas correcto. Por un lado, quiere maximizar el número de orígenes de registro que recopila, de modo que tenga la cobertura de seguridad más completa posible. Por otro lado, debe minimizar los costos incurridos por la ingesta de todos esos datos.
Estas necesidades de la competencia requieren una estrategia de administración de registros que equilibre la accesibilidad de los datos, el rendimiento de las consultas y los costos de almacenamiento.
En este artículo se describen las categorías de datos y los estados de retención usados para almacenar y acceder a los datos. También describe los niveles de registro Microsoft Sentinel le ofrece crear una estrategia de administración y retención de registros.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Categorías de datos ingeridos
Microsoft recomienda clasificar los datos ingeridos en Microsoft Sentinel en dos categorías generales:
Los datos de seguridad principales son datos que contienen un valor de seguridad crítico. Estos datos se usan para la supervisión proactiva en tiempo real, las alertas programadas y el análisis para detectar amenazas de seguridad. Los datos deben estar disponibles fácilmente para todas las experiencias de Microsoft Sentinel casi en tiempo real.
Los datos de seguridad secundarios son datos complementarios, a menudo en registros detallados de gran volumen. Estos datos tienen un valor de seguridad limitado, pero pueden proporcionar mayor riqueza y contexto a las detecciones e investigaciones, lo que ayuda a dibujar la imagen completa de un incidente de seguridad. No es necesario que esté disponible fácilmente, pero debe ser accesible a petición según sea necesario y en las dosis adecuadas.
Datos de seguridad principales
Esta categoría consta de registros que contienen un valor de seguridad crítico para su organización. Los casos de uso de datos de seguridad principales para las operaciones de seguridad incluyen:
Supervisión frecuente. Las reglas de detección de amenazas (análisis) se ejecutan en estos datos a intervalos frecuentes o casi en tiempo real.
Búsqueda a petición. Las consultas complejas se ejecutan en estos datos para ejecutar búsquedas interactivas de alto rendimiento en busca de amenazas de seguridad.
Correlación. Los datos de estos orígenes se correlacionan con los datos de otros orígenes de datos de seguridad principales para detectar amenazas y crear casos de ataque.
Informes normales. Los datos de estos orígenes están disponibles para compilarse en informes periódicos del estado de seguridad de la organización, tanto para los responsables de la seguridad como para los responsables generales de la toma de decisiones.
Análisis de comportamiento. Los datos de estos orígenes se usan para crear perfiles de comportamiento de línea base para los usuarios y dispositivos, lo que permite identificar comportamientos externos como sospechosos.
Algunos ejemplos de orígenes de datos principales incluyen:
- Registros de sistemas antivirus o de detección y respuesta empresariales (EDR)
- Registros de autenticación
- Seguimientos de auditoría de plataformas en la nube
- Fuentes de inteligencia sobre amenazas
- Alertas de sistemas externos
Los registros que contienen datos de seguridad principales deben almacenarse mediante el nivel de análisis.
Datos de seguridad secundarios
Esta categoría abarca los registros cuyo valor de seguridad individual es limitado, pero son esenciales para proporcionar una vista completa de un incidente o una infracción de seguridad. Normalmente, estos registros son de gran volumen y pueden ser detallados. Los casos de uso de las operaciones de seguridad para estos datos incluyen lo siguiente:
Inteligencia sobre amenazas. Los datos principales se pueden comprobar en listas de indicadores de riesgo (IoC) o indicadores de ataque (IoA) para detectar amenazas de forma rápida y sencilla.
Búsqueda ad hoc/investigaciones. Los datos se pueden consultar de forma interactiva durante 30 días, lo que facilita el análisis crucial para la búsqueda y las investigaciones de amenazas.
Búsquedas a gran escala. Los datos se pueden ingerir y buscar en segundo plano a escala de petabytes, a la vez que se almacenan de forma eficaz con un procesamiento mínimo.
Resumen a través de trabajos de KQL. Resuma los registros de gran volumen en información agregada y almacene los resultados en el nivel de análisis.
Algunos ejemplos de orígenes de registro de datos secundarios son los registros de acceso al almacenamiento en la nube, los registros de NetFlow, los registros de certificados TLS/SSL, los registros de firewall, los registros de proxy y los registros de IoT.
Para los registros que contienen datos de seguridad secundarios, use el lago de datos Microsoft Sentinel, que está diseñado para ofrecer funcionalidades mejoradas de escalabilidad, flexibilidad e integración para escenarios avanzados de seguridad y cumplimiento.
Niveles de administración de registros
Microsoft Sentinel proporciona dos niveles o tipos de almacenamiento de registros diferentes para dar cabida a estas categorías de datos ingeridos.
El plan de nivel de análisis está diseñado para almacenar datos de seguridad principales y hacer que sea fácil y constantemente accesible con un alto rendimiento.
El nivel de lago de datos está optimizado para almacenar datos de seguridad secundarios de forma rentable durante períodos prolongados, a la vez que se mantiene la accesibilidad.
Nivel de análisis
El nivel de análisis mantiene los datos en el estado de retención interactiva durante 90 días de forma predeterminada, extensible durante un máximo de dos años. Este estado interactivo, aunque costoso, le permite consultar los datos de forma ilimitada, con alto rendimiento, sin cargo por consulta.
Nivel de lago de datos
Microsoft Sentinel lago de datos es un lago de datos moderno y totalmente administrado que unifica y conserva los datos de seguridad a escala, lo que permite el análisis avanzado en varias modalidades y la detección de amenazas con tecnología de inteligencia artificial. Permite a los equipos de seguridad investigar amenazas a largo plazo, enriquecer alertas y crear líneas base de comportamiento con meses de datos.
Cuando la retención total está configurada para ser más larga que la retención del nivel de análisis o cuando finaliza el período de retención del nivel de análisis, los datos almacenados más allá de la retención del nivel de análisis siguen siendo accesibles en el nivel de lago de datos.
Contenido relacionado
- Para obtener más información sobre Microsoft Sentinel lago de datos, consulte Microsoft Sentinel data lake.
- Para incorporarse a Microsoft Sentinel lago de datos, consulte Incorporación de datos a Microsoft Sentinel lago de datos.