Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los datos que recopila en Microsoft Sentinel (SIEM) y Microsoft Defender XDR se almacenan en tablas. El portal de Microsoft Defender permite administrar el período de retención y los costos de almacenamiento asociados a los datos. Puede administrar la retención y los costos cuando:
- Configure los conectores de datos para enviar datos a Microsoft Sentinel o Microsoft Defender XDR.
- Administre las tablas y los datos existentes.
En este artículo se explica cómo administrar las opciones de retención de tablas y niveles en el portal de Microsoft Defender para optimizar las operaciones de seguridad y reducir los costos en Microsoft Sentinel y Microsoft Defender XDR.
¿Qué tablas puede administrar en el portal de Defender?
En esta sección se describen los tipos de tabla que puede administrar en el portal de Microsoft Defender.
| Tipo de tabla | Descripción | Ejemplos | ¿Está en Microsoft Sentinel área de trabajo? |
|---|---|---|---|
| Microsoft Sentinel | Tablas integradas, entre las que se incluyen: : Azure tablas, como AzureDiagnostics y SigninLogs. - Microsoft Sentinel tablas. - Microsoft Defender XDR integración con Microsoft Sentinel, que se crean en el área de trabajo de Microsoft Sentinel al aumentar el período de retención de análisis más allá de 30 días. Consulte el tipo de tabla XDR para obtener Defender XDR tablas que actualmente no son compatibles. |
- Azure tablas: AzureDiagnostics,SigninLogs- Microsoft Sentinel tablas: AWSCloudTrail,SecurityAlert- Tablas XDR: DeviceEvents,AlertInfo |
Sí |
| Personalizados | Las tablas que se crean manualmente o a través de trabajos en el área de trabajo de Microsoft Sentinel, incluidas las tablas de resultados de trabajos de búsqueda y reglas de resumen, y las tablas de origen de datos personalizadas. | Tablas con _CL sufijos o _SRCH . |
Sí |
| XDR | Tablas en el nivel predeterminado de XDR, que tienen 30 días de retención de análisis de forma predeterminada. Puede ver estas tablas, pero no puede administrarlas desde el portal de Defender. | IdentityInfo |
No |
Nota:
Puede ver las tablas de registros básicos en el área de trabajo de Microsoft Sentinel desde el portal de Defender, pero solo puede administrarlas actualmente desde el área de trabajo de Log Analytics. Para administrar estas tablas desde el portal de Defender, cambie el plan de tabla de básico a análisis en el área de trabajo de Microsoft Sentinel.
Cómo funcionan los niveles de datos y la retención
Puede conservar datos en Microsoft Sentinel en uno de los dos niveles:
Nivel de análisis: este nivel hace que los datos estén disponibles para alertas, búsquedas, libros y todas las características de Microsoft Sentinel. Conserva los datos en dos estados:
- Retención de análisis: en este estado "activo", los datos están totalmente disponibles para el análisis en tiempo real (incluidas las consultas de alto rendimiento y las reglas de análisis) y la búsqueda de amenazas. De forma predeterminada, Microsoft Sentinel y Microsoft Defender XDR conservar los datos de este nivel durante 30 días. Puede ampliar el período de retención de todas las tablas hasta dos años con un cargo de retención mensual prorrateado a largo plazo. Puede ampliar el período de retención de Microsoft Sentinel tablas de soluciones a 90 días de forma gratuita.
- Retención total: de forma predeterminada, todos los datos del nivel de análisis se reflejan en el lago de datos durante el mismo período de retención. Puede ampliar la retención de los datos en el lago más allá de la retención de análisis, hasta 12 años de retención total a un bajo costo.
Nivel de lago de datos: en este nivel "en frío" de bajo costo, Microsoft Sentinel solo conserva los datos en el lago. Los datos del nivel de lago de datos no están disponibles para las características de análisis en tiempo real y la búsqueda de amenazas. Sin embargo, puede acceder a los datos del lago siempre que los necesite a través de trabajos de KQL, analizar tendencias a lo largo del tiempo mediante la ejecución de trabajos de KQL o Spark programados y agregar información de los datos entrantes a una cadencia regular mediante reglas de resumen.
Datos XDR: de forma predeterminada, Microsoft Defender XDR datos de búsqueda de amenazas siempre están disponibles en el nivel de análisis durante 30 días. Puede ampliar la retención de estos datos en el nivel de análisis hasta 90 días, lo que incurriría en costos de ingesta, pero el almacenamiento es gratuito. La extensión de más de 90 días en el análisis también incurrirá en costos de almacenamiento. También puede ingerir exclusivamente en el nivel de lago de datos, pero los datos siempre están disponibles en el nivel de análisis durante 30 días. La ingesta de datos XDR directamente en el nivel de lago de datos es más rentable, pero implica costos de ingesta, almacenamiento y procesamiento. En esta opción, los clientes todavía obtienen datos por valor de 30 días en el nivel de Analytics sin ningún costo adicional.
Para obtener más información sobre las diferencias entre estos dos tipos de retención, consulte Comparación de los niveles de análisis y lago de datos.
En este diagrama se muestran los componentes de retención de los niveles predeterminados de análisis, lago de datos y XDR, y qué tipos de tabla se aplican a cada nivel:
Para obtener más información sobre el lago de datos Microsoft Sentinel, consulte ¿Qué es Microsoft Sentinel lago de datos?
Comparación de los niveles de análisis y lago de datos
En esta tabla se comparan los dos niveles de análisis y lago de datos y sus características clave:
| Comparison | Nivel de análisis | Nivel de lago de datos |
|---|---|---|
| Características claves | Consulta e indexación de alto rendimiento para registros (también conocidos como retención activa o interactiva). | Retención rentable a largo plazo de grandes volúmenes de datos (también conocido como almacenamiento en frío). |
| Lo mejor para | Reglas de análisis en tiempo real, alertas, búsqueda, libros y todas las características Microsoft Sentinel. | - Cumplimiento y registro normativo. - Análisis histórico de tendencias y análisis forense. - Datos de poca interacción que no son necesarios para las alertas en tiempo real. |
| Costo de ingesta | Estándar | mínimo |
| Precio de consulta incluido | ✅ | ❌ |
| Rendimiento optimizado de las consultas | ✅ |
❌ Consultas más lentas. Bueno para la auditoría. No optimizado para el análisis en tiempo real. |
| Funcionalidades de consulta | Funcionalidades de consulta completas en los portales de Microsoft Defender y Azure y mediante las API. |
-
Funcionalidades de consulta completas , incluidas uniones y combinaciones. - Ejecutar trabajos de KQL o Spark programados. - Usar cuadernos. |
| Conjunto completo de características de análisis en tiempo real | ✅ | ❌ Limitaciones en algunas características, como reglas de análisis, consultas de búsqueda, analizadores, listas de reproducción, libros y cuadernos de estrategias. |
| Trabajos de búsqueda | ✅ | ✅ |
| Reglas de resumen | ✅ | ✅ KQL completo en una sola tabla, que puede ampliar con datos de una tabla de análisis mediante la búsqueda |
| Restaurar | ✅ | ❌ Los trabajos de KQL y Notebook pueden promover los datos al nivel de análisis. |
| Exportación de datos | ✅ | ❌ |
| Período de retención | 90 días para Microsoft Sentinel, 30 días para Microsoft Defender XDR. Se puede ampliar hasta dos años con un cargo de retención mensual prorrateado a largo plazo. |
Igual que la retención de análisis, de forma predeterminada. Puede extenderse hasta 12 años. |
¿Qué ocurre al modificar la configuración de la tabla?
Puede cambiar la configuración de nivel y retención de una tabla en cualquier momento.
Al cambiar el xdr predeterminado de nivel de una tabla de análisis a lago de datos, todos los análisis en tiempo real y las consultas de búsqueda dejan de funcionar.
Al acortar la retención total de una tabla, Microsoft espera 30 días antes de quitar los datos, por lo que puede revertir el cambio y evitar la pérdida de datos si ha producido un error en la configuración.
Al aumentar la retención total, el nuevo período de retención se aplica a todos los datos que ya se han ingerido en la tabla y que aún no se han quitado.
Al cambiar la configuración de retención de análisis de una tabla con datos existentes, el cambio surte efecto inmediatamente.
Ejemplo:
- Tiene una tabla en el nivel de análisis con 180 días de retención de análisis. De forma predeterminada, la retención total también se establece en 180 días.
- La retención de análisis se cambia a 90 días sin cambiar el período de retención total de 180 días.
- Microsoft Sentinel quita automáticamente los últimos 90 días de datos de la retención de análisis, pero continúa almacenando datos que son de 90 a 180 días en el lago de datos.
Administración de datos XDR en Microsoft Sentinel
De forma predeterminada, Microsoft Defender XDR conserva los datos de búsqueda de amenazas en el nivel predeterminado de XDR durante 30 días. Estos datos no se ingieren en los niveles de análisis o lago de datos de forma predeterminada. Si amplía el período de retención de las tablas XDR admitidas más allá de 30 y hasta 90 días, se aplican Sentinel costos de ingesta, pero no hay costos de almacenamiento adicionales. Las tablas se crean en el área de trabajo de Microsoft Sentinel en el nivel de análisis y se reflejan en el nivel de lago de datos.
Si habilita el conector XDR de Microsoft Sentinel en el Azure Portal, las tablas que seleccione durante la instalación se ingieren automáticamente en el nivel de análisis y se reflejarán en el nivel de lago de datos. La retención predeterminada es de 30 días y puede ampliarla hasta 12 años. Para obtener una lista de tablas, consulte Microsoft Defender XDR integración con Microsoft Sentinel. Puede ingerir tablas XDR admitidas que no seleccionó durante la implementación del conector en el nivel de análisis y reflejarlas en el nivel de lago de datos estableciendo la retención en más de 30 días.
Si no habilita el conector XDR de Microsoft Sentinel, las tablas XDR no se ingieren automáticamente, pero todavía puede ingerirlas estableciendo la retención de nivel de lago de datos o análisis durante más de 30 días en el portal de Defender.
Puede elegir ingerir tablas XDR admitidas exclusivamente en el nivel de lago de datos seleccionando la opción Capa de Data lake al configurar la configuración de retención. Para obtener más información, consulte Configuración de la retención y la organización por niveles de datos.
Detenga la ingesta de datos en el nivel de análisis restableciendo la retención del nivel de análisis y la retención total a los 30 días predeterminados. Esta acción deshabilita el conector en el Azure Portal.
Para obtener más información sobre cómo administrar las tablas y los datos, consulte Administración de las tablas y los datos existentes.
Retención y costos de datos XDR
En las tablas siguientes se resumen los períodos de retención gratuitos y las implicaciones de costos para los distintos niveles de Microsoft Sentinel:
| Nivel | Retención | Notas |
|---|---|---|
| Búsqueda avanzada (valor predeterminado) | 30 días | Valor predeterminado, incluido en la licencia XDR |
| Nivel de análisis | 31-90 días | Almacenamiento gratuito para áreas de trabajo habilitadas para Sentinel. Los datos se reflejan en el lago de datos. Sentinel se aplican cargos por ingesta. |
| Lago de datos | Configurable. De forma predeterminada, es igual que el nivel de análisis. | Almacenamiento gratuito cuando la retención total es la misma que la retención de nivel de análisis. La retención de datos en el lago de datos más allá del período de retención del nivel de análisis conlleva costos de almacenamiento de data lake. La ingesta de datos directamente en el nivel de lago de datos conlleva costos de ingesta, almacenamiento y procesamiento. |
Para obtener más información sobre la facturación y los costos, consulte Descripción del modelo de facturación completo para Microsoft Sentinel
En los ejemplos siguientes, los datos XDR están disponibles mediante la búsqueda avanzada durante al menos 30 días, independientemente de la configuración de retención en los niveles de análisis o lago de datos.
| Retención del nivel de análisis | Retención total | Costos de ingesta de niveles de análisis | Costos de almacenamiento de nivel de análisis | Costos del nivel de lago de datos |
|---|---|---|---|---|
| Valor predeterminado de 30 días | Valor predeterminado de 30 días | Sin costos adicionales | N/D | N/D |
| 90 días | 90 días | Los costos se aplican a la ingesta de niveles de análisis. | Sin costos adicionales. 90 días incluidos gratis. | Sin costos adicionales. La retención total coincide con la retención del nivel de análisis. |
| 90 días | 180 días | Los costos se aplican a la ingesta de niveles de análisis. | Sin costos adicionales; 90 días incluidos gratis. | Los costos se aplican durante 90 días de retención adicional del lago de datos (de 180 a 90 días). |
| 180 días | 1 año | Los costos se aplican a la ingesta de niveles de análisis. | Los costos se aplican durante 90 días de retención de niveles de análisis adicionales. | Los costos se aplican durante 185 días de retención adicional del lago de datos (365 - 180 días). |
| 0 días (solo lago de datos) | 5 años | N/D | N/D | Los costos se aplican a la ingesta y a la retención de lago de datos durante 5 años. |
Pasos siguientes
Obtenga más información sobre: