Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender para IoT almacena datos en microsoft Azure Portal, en sensores de red OT.
Cada tipo de almacenamiento tiene distintas opciones de capacidad de almacenamiento y tiempos de retención. En este artículo se describe la directiva de retención de datos para la cantidad de datos y el tiempo que los datos se almacenan en cada tipo de almacenamiento antes de eliminarse o sobrescribirse.
¿Qué estamos recopilando?
Defender para IoT recopila información de los dispositivos configurados y la almacena en un inquilino específico del servicio, dedicado al cliente y segregado. Los datos almacenados son con fines de administración, seguimiento e informes.
La información recopilada incluye datos de conexión de red (IP y puertos) y detalles del dispositivo (identificadores de dispositivo, nombres, versiones del sistema operativo, versiones de firmware). Defender para IoT almacena estos datos de forma segura de acuerdo con las prácticas de privacidad de Microsoft y las directivas del Centro de confianza de Microsoft.
Estos datos permiten a Defender para IoT:
- Identifique de forma proactiva los indicadores de ataque (E/S/S) en su organización.
- Genere alertas si se detecta un posible ataque.
- Proporcione al equipo de seguridad una vista de los dispositivos y las direcciones relacionadas con las señales de amenazas de la red, lo que le permite investigar y explorar posibles amenazas de seguridad de red.
Microsoft no usa los datos para la publicidad.
Ubicación de datos
Defender para IoT usa los centros de datos de Microsoft Azure en la Unión Europea y el Estados Unidos. Los datos del cliente recopilados por el servicio pueden almacenarse en una de las dos ubicaciones geográficas:
- La geolocalización del inquilino tal como se identifica durante el aprovisionamiento.
- La geolocalización definida por las reglas de almacenamiento de datos de un servicio en línea que usa Defender para IoT para procesar sus datos.
Retención de datos
Los datos de Defender para IoT se conservan durante el tiempo que un cliente esté activo o durante 90 días después del final del contrato. Durante este período, los datos se ven en los demás servicios del portal.
Los datos se conservan y están disponibles mientras la licencia está en un período de gracia o en modo suspendido. 90 días después del final de este período, los datos se borran de los sistemas de Microsoft, lo que los hace irrecuperables.
Períodos de retención de datos del dispositivo
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos del dispositivo en cada tipo de almacenamiento de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
|
|
90 días a partir de la fecha del valor De última actividad . Para obtener más información, consulte Administración del inventario de dispositivos desde el Azure Portal. |
| Sensor de red OT | 90 días a partir de la fecha del valor De última actividad . Para obtener más información, consulte Administración del inventario de dispositivos OT desde una consola de sensor. |
Retención de datos de alertas
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos de alerta en cada tipo de almacenamiento de Defender para IoT. Los datos de alerta se almacenan como se muestra en la lista, independientemente del estado de la alerta o de si se han aprendido o silenciado.
| Tipo de almacenamiento | Detalles |
|---|---|
|
|
90 días a partir de la fecha del primer valor de detección . Para obtener más información, consulte Visualización y administración de alertas desde el Azure Portal. |
| Sensor de red OT | 90 días a partir de la fecha del primer valor de detección . Para obtener más información, consulte Visualización de alertas en el sensor. |
Retención de datos PCAP de alerta de OT
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos PCAP en cada tipo de almacenamiento de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
|
|
Los archivos PCAP están disponibles para su descarga desde el Azure Portal mientras el sensor de red OT los almacene. Una vez descargados, los archivos se almacenan en caché en la Azure Portal durante 48 horas. Para obtener más información, consulte Acceso a los datos PCAP de alertas. |
| Sensor de red OT | Depende de la capacidad de almacenamiento del sensor asignada para los archivos PCAP, que determina su perfil de hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Si un sensor supera su capacidad de almacenamiento máxima, se elimina el archivo PCAP más antiguo para dar cabida al nuevo. Para obtener más información, consulte Acceso a los datos PCAP de alertas y dispositivos físicos preconfigurados para la supervisión de OT. |
El uso del espacio de almacenamiento PCAP disponible depende de factores como el número de alertas, el tipo de alerta y el ancho de banda de red, que afectan al tamaño del archivo PCAP.
Sugerencia
Para evitar depender de la capacidad de almacenamiento del sensor, use el almacenamiento externo para hacer una copia de seguridad de los datos PCAP.
Retención de recomendaciones de seguridad
Las recomendaciones de seguridad de Defender para IoT solo se almacenan en el Azure Portal, durante 90 días a partir de la primera vez que se detecta la recomendación.
Para obtener más información, consulte Mejora de la posición de seguridad con recomendaciones de seguridad.
Retención de la escala de tiempo de eventos de OT
Los datos de escala de tiempo de eventos de OT solo se almacenan en sensores de red OT y la capacidad de almacenamiento varía según el perfil de hardware del sensor.
La retención de datos de escala de tiempo de eventos no está limitada por el tiempo. Sin embargo, suponiendo una frecuencia de 500 eventos al día, todos los perfiles de hardware pueden conservar los eventos durante al menos 90 días.
Si un sensor supera su tamaño de almacenamiento máximo, se elimina el archivo de datos de escala de tiempo de eventos más antiguo para dar cabida al nuevo.
En la tabla siguiente se muestra el número máximo de eventos que se pueden almacenar para cada perfil de hardware:
| Perfil de hardware | Número de eventos |
|---|---|
| C5600 | Eventos 10M |
| E1800 | Eventos 10M |
| E1000 | Eventos 6M |
| E500 | Eventos 6M |
| L500 | Eventos 3M |
| L100 | Eventos 500-K |
Para obtener más información, consulte Seguimiento de la actividad del sensor y Dispositivos físicos preconfigurados para la supervisión de OT.
Retención de archivos de registro de OT
Los archivos de registro de servicio y procesamiento se almacenan en el Azure Portal durante 30 días a partir de su fecha de creación.
Otros archivos de registro de supervisión de OT solo se almacenan en el sensor de red OT.
Para más información, vea:
Capacidad de archivo de copia de seguridad
El sensor de red OT tiene copias de seguridad automatizadas que se ejecutan diariamente y los archivos de copia de seguridad anteriores se sobrescriben cuando la capacidad de almacenamiento configurada alcanza su límite.
Para más información, vea:
Copias de seguridad en el sensor de red OT
La retención de archivos de copia de seguridad depende de la arquitectura del sensor, ya que cada perfil de hardware tiene una cantidad establecida de espacio en disco duro asignado para el historial de copia de seguridad:
| Perfil de hardware | Espacio asignado en disco duro |
|---|---|
| L100 | No se admiten copias de seguridad |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Uso compartido de datos para Microsoft Defender para IoT
Microsoft Defender para IoT comparte datos, incluidos los datos del cliente, entre los siguientes productos de Microsoft, también con licencia del cliente.
- Microsoft Defender XDR
- Microsoft Sentinel
- Centro de inteligencia sobre amenazas de Microsoft
- Microsoft Defender para la nube
- Microsoft Defender para punto de conexión
- Administración de exposición de seguridad Microsoft
Siguientes pasos
Para más información, vea: