Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os dados recolhidos no Microsoft Sentinel (SIEM) e Microsoft Defender XDR são armazenados em tabelas. O portal Microsoft Defender permite-lhe gerir o período de retenção e os custos de armazenamento associados aos seus dados. Pode gerir a retenção e os custos quando:
- Configure os conectores de dados para enviar dados para Microsoft Sentinel ou Microsoft Defender XDR.
- Faça a gestão das tabelas e dos dados existentes.
Este artigo explica como gerir as opções de retenção de tabelas e camadas no portal do Microsoft Defender para otimizar as operações de segurança e reduzir os custos em Microsoft Sentinel e Microsoft Defender XDR.
Que tabelas pode gerir no portal do Defender?
Esta secção descreve os tipos de tabela que pode gerir no portal Microsoft Defender.
| Tipo de tabela | Descrição | Exemplos | Está Microsoft Sentinel área de trabalho? |
|---|---|---|---|
| Microsoft Sentinel | Tabelas incorporadas, incluindo: - Azure tabelas, como AzureDiagnostics e SigninLogs. - Microsoft Sentinel tabelas. - Microsoft Defender XDR integração com Microsoft Sentinel, que são criados na sua área de trabalho Microsoft Sentinel quando aumenta o período de retenção da análise para além dos 30 dias. Veja o tipo de tabela XDR para Defender XDR tabelas que não são atualmente suportadas. |
- Azure tabelas: AzureDiagnostics,SigninLogs- Microsoft Sentinel tabelas: AWSCloudTrail,SecurityAlert- Tabelas XDR: DeviceEvents,AlertInfo |
Sim |
| Personalizado | Tabelas que cria manualmente ou através de trabalhos na área de trabalho Microsoft Sentinel, incluindo tabelas de resultados de tarefas de pesquisa e regra de resumo e tabelas de origem de dados personalizadas. | Tabelas com _CL ou _SRCH sufixos. |
Sim |
| XDR | Tabelas na camada predefinida XDR, que têm 30 dias de retenção de análise por predefinição. Pode ver estas tabelas, mas não pode geri-las a partir do portal do Defender. | IdentityInfo |
Não |
Nota
Pode ver tabelas de registos Básicos na área de trabalho Microsoft Sentinel a partir do portal do Defender, mas atualmente só pode geri-las a partir da área de trabalho do Log Analytics. Para gerir estas tabelas a partir do portal do Defender, altere o plano de tabela de básico para análise na área de trabalho Microsoft Sentinel.
Como funcionam as camadas de dados e a retenção
Pode reter dados em Microsoft Sentinel numa de duas camadas:
Escalão de análise: esta camada disponibiliza dados para alertas, investigação, livros e todas as funcionalidades de Microsoft Sentinel. Retém dados em dois estados:
- Retenção de análise: neste estado "frequente", os dados estão totalmente disponíveis para análises em tempo real , incluindo consultas de alto desempenho e regras de análise, e investigação de ameaças. Por predefinição, Microsoft Sentinel e Microsoft Defender XDR reter dados nesta camada durante 30 dias. Pode prolongar o período de retenção de todas as tabelas até dois anos com uma taxa de retenção de longo prazo mensal proporcional. Pode prolongar o período de retenção de Microsoft Sentinel tabelas de soluções para 90 dias gratuitamente.
- Retenção total: por predefinição, todos os dados na camada de análise são espelhados no data lake para o mesmo período de retenção. Pode expandir a retenção dos seus dados no lago para além da retenção analítica, até 12 anos de retenção total a um custo baixo.
Camada do data lake: nesta camada "cold" de baixo custo, Microsoft Sentinel retém os seus dados apenas no lago. Os dados na camada do data lake não estão disponíveis para funcionalidades de análise em tempo real e investigação de ameaças. No entanto, pode aceder aos dados no lago sempre que precisar através de tarefas KQL, analisar tendências ao longo do tempo ao executar trabalhos agendados do KQL ou do Spark e agregar informações de dados recebidos numa cadência regular através de regras de resumo.
Dados XDR: por predefinição, Microsoft Defender XDR dados de investigação de ameaças estão sempre disponíveis no escalão de análise durante 30 dias. Pode prolongar a retenção destes dados na camada de análise até 90 dias, o que implicaria custos de ingestão, mas o armazenamento é gratuito. Prolongar-se por mais de 90 dias na análise também irá incorrer em custos de armazenamento. Também pode ingerir exclusivamente na camada do data lake, mas os dados estão sempre disponíveis na camada de análise durante 30 dias. A ingestão de dados XDR diretamente na camada do data lake é mais rentável, mas envolve ingestão, armazenamento e custos de processamento. Nesta opção, os clientes ainda obtêm 30 dias de dados no escalão Análise sem custos adicionais.
Para obter mais informações sobre as diferenças entre estes dois tipos de retenção, veja Comparar as camadas de data lake e análise.
Este diagrama mostra os componentes de retenção das camadas predefinidas de análise, data lake e XDR e que tipos de tabela se aplicam a cada camada:
Para obter mais informações sobre o data lake Microsoft Sentinel, veja O que é Microsoft Sentinel data lake.
Comparar as camadas de data lake e análise
Esta tabela compara as duas camadas de análise e data lake e as suas principais características:
| Comparação | Escalão de análise | Camada do Data Lake |
|---|---|---|
| Principais características | Consulta e indexação de elevado desempenho para registos (também conhecidos como retenção frequente ou interativa). | Retenção económica a longo prazo de grandes volumes de dados (também conhecido como armazenamento a frio). |
| Melhor para | Regras de análise em tempo real, alertas, investigação, livros e todas as funcionalidades de Microsoft Sentinel. | - Conformidade e registo regulamentar. - Análise de tendências históricas e forenses. - Dados de baixo toque que não são necessários para alertas em tempo real. |
| Custo da ingestão | Standard | Mínimo |
| Preço da consulta incluído | ✅ | ❌ |
| Desempenho de consultas otimizado | ✅ |
❌ Consultas mais lentas. Bom para auditoria. Não otimizado para análise em tempo real. |
| Capacidades de consulta | Capacidades de consulta completas nos portais de Microsoft Defender e Azure e através de APIs. |
-
Capacidades de consulta completas, incluindo uniões e associações. - Executar tarefas agendadas do KQL ou do Spark. - Utilizar Blocos de Notas. |
| Conjunto completo de funcionalidades de análise em tempo real | ✅ | ❌ Limitações em algumas funcionalidades, incluindo regras de análise, consultas de investigação, analisadores, listas de observação, livros e manuais de procedimentos. |
| Procurar tarefas | ✅ | ✅ |
| Regras de resumo | ✅ | ✅ KQL completo numa única tabela, que pode expandir com dados de uma tabela de análise através da pesquisa |
| Restaurar | ✅ | ❌ As tarefas KQL e Notebook podem promover dados para o escalão de análise. |
| Exportação de dados | ✅ | ❌ |
| Período de retenção | 90 dias para Microsoft Sentinel, 30 dias para Microsoft Defender XDR. Pode ser alargado até dois anos a uma taxa de retenção de longo prazo mensal proporcional. |
O mesmo que a retenção de análise, por predefinição. Pode ser alargado até 12 anos. |
O que acontece quando modifica as definições da tabela
Pode mudar as definições de camada e retenção de uma tabela em qualquer altura.
Quando altera o xdr predefinido de camada de uma tabela de análise para data lake, todas as consultas de análise e investigação em tempo real deixam de funcionar.
Ao encurtar a retenção total de uma tabela, a Microsoft aguarda 30 dias antes de remover os dados, para que possa reverter a alteração e evitar a perda de dados se tiver cometido um erro na configuração.
Quando aumenta a retenção total, o novo período de retenção aplica-se a todos os dados que já foram ingeridos na tabela e que ainda não foram removidos.
Quando altera as definições de retenção de análise de uma tabela com dados existentes, a alteração entra em vigor imediatamente.
Exemplo:
- Tem uma tabela na camada de análise com 180 dias de retenção de análise. Por predefinição, a Retenção total também está definida para 180 dias.
- Altere a retenção de análise para 90 dias sem alterar o período de retenção total de 180 dias.
- Microsoft Sentinel remove automaticamente os últimos 90 dias de dados da retenção de análise, mas continua a armazenar dados que são de 90 a 180 dias no data lake.
Gerir dados XDR no Microsoft Sentinel
Por predefinição, Microsoft Defender XDR retém dados de investigação de ameaças no escalão predefinido XDR durante 30 dias. Por predefinição, estes dados não são ingeridos nas camadas de data lake ou análise. Se prolongar o período de retenção das tabelas XDR suportadas para além de 30 e até 90 dias, aplicam-se Sentinel custos de ingestão, mas não existem custos de armazenamento adicionais. As tabelas são criadas no seu Microsoft Sentinel área de trabalho na camada de análise e espelhadas na camada do data lake.
Se ativar o conector XDR Microsoft Sentinel na portal do Azure, as tabelas que selecionar durante a configuração são automaticamente ingeridas na camada de análise e espelhadas na camada do data lake. A retenção predefinida é de 30 dias e pode prolongá-la até 12 anos. Para obter uma lista de tabelas, veja Microsoft Defender XDR integração com Microsoft Sentinel. Pode ingerir tabelas XDR suportadas que não selecionou durante a implementação do conector na camada de análise e espelha-las na camada do data lake ao definir a retenção para mais de 30 dias.
Se não ativar o conector XDR Microsoft Sentinel, as tabelas XDR não são ingeridas automaticamente, mas pode ingeri-las ao definir a análise ou a retenção da camada do data lake durante mais de 30 dias no portal do Defender.
Pode optar por ingerir tabelas XDR suportadas exclusivamente na camada do data lake ao selecionar a opção Data lake tier ao configurar as definições de retenção. Para obter mais informações, veja Configurar a retenção e o arrumo de dados.
Pare de ingerir dados na camada de análise ao repor a retenção da camada de análise e a retenção total para os 30 dias predefinidos. Esta ação desativa o conector no portal do Azure.
Para obter mais informações sobre como gerir as suas tabelas e dados, consulte Gerir as tabelas e os dados existentes.
Custos e retenção de dados XDR
As tabelas seguintes resumem os períodos de retenção gratuitos e as implicações de custos para os diferentes escalões no Microsoft Sentinel:
| Camada | Retenção | Notas |
|---|---|---|
| Investigação Avançada (Predefinição) | 30 dias | Predefinição, incluída na licença XDR |
| Escalão de análise | 31-90 dias | Armazenamento gratuito para Sentinel áreas de trabalho ativadas. Os dados são espelhados para o data lake. Sentinel aplicam-se os custos de ingestão. |
| Data lake | Configurável. Por predefinição, o mesmo que o escalão de análise. | Armazenamento livre quando a retenção total é igual à retenção do escalão de análise. A retenção de dados no data lake para além do período de retenção da camada analítica implica custos de armazenamento do data lake. Ingerir dados diretamente na camada do data lake, implicar custos de ingestão, armazenamento e processamento. |
Para obter mais informações sobre faturação e custos, veja Compreender o modelo de faturação completo do Microsoft Sentinel
Nos exemplos seguintes, os dados XDR estão disponíveis através da investigação avançada durante, pelo menos, 30 dias, independentemente das definições de retenção nas camadas de data lake ou análise.
| Retenção do escalão de análise | Retenção total | Custos de ingestão do escalão de análise | Custos de armazenamento da camada de análise | Custos da camada do Data Lake |
|---|---|---|---|---|
| Predefinição de 30 dias | Predefinição de 30 dias | Sem custos adicionais | N/D | N/D |
| 90 dias | 90 dias | Os custos aplicam-se à ingestão de camadas analíticas. | Sem custos adicionais. 90 dias incluídos gratuitamente. | Sem custos adicionais. A retenção total corresponde à retenção do escalão de análise. |
| 90 dias | 180 dias | Os custos aplicam-se à ingestão de camadas analíticas. | Sem custos adicionais; 90 dias incluídos gratuitamente. | Os custos aplicam-se a 90 dias de retenção adicional do data lake (180 a 90 dias). |
| 180 dias | 1 ano | Os custos aplicam-se à ingestão de camadas analíticas. | Os custos aplicam-se a 90 dias de retenção adicional do escalão de análise. | Os custos aplicam-se a 185 dias de retenção adicional do data lake (365 a 180 dias). |
| 0 dias (apenas data lake) | 5 anos | N/D | N/D | Os custos aplicam-se à ingestão e a 5 anos de retenção do data lake. |
Passos seguintes
Saiba mais sobre: