Configuración de registros

  • 3 minutos

Configuración de registros en áreas de trabajo de Microsoft Sentinel

Al configurar las áreas de trabajo de Microsoft Sentinel, debe planear los dos estados de datos, los tres planes de tabla y los dos niveles de registro principales.

Los dos estados de datos son:

  • Retención de análisis: para supervisar, solucionar problemas y análisis casi en tiempo real
  • Retención a largo plazo: un estado de bajo coste, no disponible en todos los planes de tabla, pero accesible a través de trabajos de búsqueda y restauraciones

Diagrama en el que se muestra el análisis y la retención a largo plazo en los registros de Azure Monitor.

Los planes de tabla de un área de trabajo de Log Analytics determinan las características disponibles para cada tabla y el costo de almacenar datos en esa tabla. Puede configurar tablas diferentes en un área de trabajo para usar planes diferentes.

Hay tres planes en un área de trabajo de Log Analytics:

  • El plan de análisis es adecuado para la supervisión continua, la detección en tiempo real y el análisis de rendimiento. Este plan hace que los datos de registro estén disponibles para las consultas interactivas de varias tablas y el uso de características y servicios durante 30 días a dos años.
  • El plan Básico es adecuado para la solución de problemas y la respuesta a incidentes. Este plan ofrece ingesta con descuento y consultas optimizadas de tabla única durante 30 días.
  • El plan auxiliar es adecuado para datos que requieren poca intervención, como los registros verbosos y los datos necesarios para auditoría y cumplimiento. Este plan ofrece consultas de ingesta de bajo coste y tablas únicas optimizadas durante 30 días.

Diagrama de diferentes tipos de nivel de área de trabajo.

Planes de retención de registros en Microsoft Sentinel

En el caso de las áreas de trabajo de Microsoft Sentinel conectadas a Defender, la administración por niveles y de retención se deben llevar a cabo desde la nueva interfaz de gestión de tablas en el portal de Defender. Si tiene registros básicos en el área de trabajo, primero conviértalos al nivel de análisis desde la interfaz de Tablas de Log Analytics antes de poder cambiar la nivelación o la retención desde la nueva interfaz de administración de tablas de Defender.

Importante

Se recomienda que los usuarios consideren el lago de datos de Microsoft Sentinel como la solución preferida para almacenar datos secundarios y a largo plazo. El lago de datos de Microsoft Sentinel está diseñado para ofrecer funcionalidades de escalabilidad, flexibilidad e integración mejoradas para escenarios avanzados de seguridad y cumplimiento. El lago de datos de Microsoft Sentinel está actualmente en versión preliminar pública y aún no está disponible con carácter general. Recomendamos a los usuarios que supervisen las actualizaciones y los anuncios con respecto a su estado de disponibilidad.

Administración de niveles de datos en Microsoft Sentinel

Hay dos niveles principales en Microsoft Sentinel y un nivel XDR predeterminado:

  • Nivel de análisis
  • Nivel de Data Lake
  • Nivel predeterminado de XDR

Nivel de análisis

Este nivel hace que los datos estén disponibles para alertamiento, detección, cuadernos de trabajo y todas las funciones de Microsoft Sentinel. Conserva los datos en dos estados:

  • Retención de datos analíticos: en este estado "activo", los datos están totalmente disponibles para el análisis en tiempo real, incluidas las consultas de alto rendimiento, las reglas de análisis y la búsqueda de amenazas. De forma predeterminada, Microsoft Sentinel y XDR de Microsoft Defender conservan los datos en este nivel durante 30 días. Puede ampliar el período de retención de todas las tablas hasta dos años con un cargo prorrateado de retención a largo plazo mensual. Puede ampliar el período de retención de las tablas de soluciones de Microsoft Sentinel a 90 días de forma gratuita.
  • Retención total: de forma predeterminada, todos los datos del nivel de análisis se reflejan en el lago de datos durante el mismo período de retención. Puede ampliar la retención de los datos en el lago más allá de la retención de análisis, hasta 12 años de retención total a un costo bajo.

Capa de Lago de datos

En este nivel "frío" de bajo coste, Microsoft Sentinel solo conserva los datos en el lago. Los datos en el nivel de data lake no están disponibles para funciones de análisis en tiempo real y la detección de amenazas. Sin embargo, puede acceder a los datos del lago siempre que lo necesite a través de trabajos de KQL, analizar tendencias a lo largo del tiempo mediante la ejecución de trabajos de KQL o Spark programados, y agregar información de los datos entrantes a una cadencia regular mediante reglas de resumen.

Nivel predeterminado de XDR

De forma predeterminada, Microsoft Defender XDR conserva los datos de caza de amenazas en el nivel predeterminado de XDR, que incluye una retención de análisis de 30 días, lo cual está incluido en la licencia de XDR. Estos datos no se ingieren en las capas de análisis o lago de datos. Extienda el período de retención de las tablas compatibles de Defender XDR más allá de 30 días e ingiera los datos en el nivel de análisis.

En este diagrama se muestran los componentes de retención de los niveles predeterminados de análisis, lago de datos y XDR, y qué tipos de tabla se aplican a cada nivel:

Diagrama que muestra los niveles de análisis y lago de datos en el portal de Microsoft Defender.

¿Qué tablas puede administrar en el portal de Defender?

En esta sección se describen los tipos de tabla que puede administrar en el portal de Defender.

Captura de pantalla que muestra la pantalla Administración de tablas en el portal de Defender.

Tipo de tabla Description Examples ¿Está en el área de trabajo de Microsoft Sentinel?
Microsoft Sentinel Tablas integradas, incluidas: tablas de Azure, como AzureDiagnostics y SigninLogs. Tablas de Microsoft Sentinel. Tablas de búsqueda avanzada de amenazas de Defender XDR admitidas, que se crean en el área de trabajo de Microsoft Sentinel al aumentar el período de retención más allá de 30 días. Consulte el tipo de tabla XDR para las tablas XDR de Defender que no se admiten actualmente. - Tablas de Azure: AzureDiagnostics, SigninLogs- Tablas de Microsoft Sentinel: AWSCloudTrail, SecurityAlert- Tablas XDR: DeviceEvents,AlertInfo
Personalizada Tablas que creas manualmente o a través de trabajos en tu área de trabajo de Microsoft Sentinel, incluidas las tablas de resultados de reglas de resumen y de trabajos de búsqueda, y las tablas de orígenes de datos personalizados. Tablas con el sufijo _CL o el sufijo _SRCH.
XDR Tablas en el nivel predeterminado de XDR, que tienen una retención de análisis de 30 días por defecto. Puede ver estas tablas, pero no puede administrarlas desde el portal de Defender. IdentityInfo No

Nota:

Puede ver las tablas de registros básicos en el área de trabajo de Microsoft Sentinel desde el portal de Defender, pero actualmente solo puede administrarlas desde el área de trabajo de Log Analytics. Para administrar estas tablas desde el portal de Defender, cambie el plan de tabla de básico a análisis en el área de trabajo de Microsoft Sentinel.

Administrar la configuración de la tabla

Para ver y administrar la configuración de la tabla en el portal de Microsoft Defender:

  1. SeleccioneTablas> de > en el panel de navegación izquierdo.

    La pantalla Tabla muestra todas las tablas que puede administrar en el portal de Microsoft Defender y la configuración de cada tabla.

    Captura de pantalla que muestra la pantalla Tablas en el portal de Defender.

    La columna de área de trabajo muestra el área de trabajo de Microsoft Sentinel en la que se almacena una tabla de Microsoft Sentinel o una tabla personalizada.

  2. Para administrar Microsoft Sentinel y tablas personalizadas en un área de trabajo de Microsoft Sentinel diferente, seleccione el nombre del área de trabajo en la esquina superior izquierda de la pantalla para cambiar entre áreas de trabajo.

  3. Seleccione una tabla en la pantalla Tablas .

    Se abre el panel lateral de detalles de la tabla con más información sobre la tabla, incluida la descripción, el nivel y los detalles de retención de datos.

    Captura de pantalla que muestra el panel lateral de detalles de la tabla CommonSecurityLog en la pantalla Administración de tablas del portal de Defender.

  4. Seleccione Administrar tabla.

    La pantalla Administrar tabla le permite modificar la configuración de retención de la tabla en el nivel actual y cambiar el nivel de almacenamiento, si es necesario.

    Captura de pantalla que muestra la pantalla Administrar tabla para la tabla CommonSecurityLog en el portal de Defender.

    • Configuración de retención de niveles de análisis:

      • Retención de análisis: de 30 días a dos años.

      • Retención total: hasta 12 años de almacenamiento a largo plazo en el lago de datos. De forma predeterminada, la retención total es igual a la retención de análisis, lo que significa que no se aplica la retención a largo plazo. Para habilitar la retención a largo plazo, establezca la retención total en un valor mayor que la retención de análisis.

        Ejemplo: Para conservar seis meses de datos en el total de retención a largo plazo y 90 días de datos en retención de análisis, establezca Retención de análisis en 90 días y Retención total en 180 días.

    • Configuración de retención de capa de Data Lake: establezca Retención en un valor entre 30 días y 12 años.

    • Cambios de nivel: si es necesario, puede cambiar los niveles en cualquier momento en función de las necesidades de uso de datos y administración de costos.

      Nota:

      Los cambios de nivel no están disponibles para todas las tablas. Por ejemplo, las tablas de soluciones XDR y Microsoft Sentinel deben estar disponibles en el nivel de análisis, ya que los servicios de seguridad de Microsoft requieren los datos de estas tablas para el análisis casi en tiempo real.

  5. Revise las advertencias y los mensajes. Estos mensajes le ayudan a comprender las implicaciones importantes de cambiar la configuración de la tabla.

    Por ejemplo:

    • Es probable que aumente la retención, lo que provocará un aumento del costo de los datos.
    • Cambiar del análisis al nivel de lago de datos hace que las características que dependen de los datos de análisis dejen de funcionar, como:
      • Alertas
      • Búsqueda avanzada
      • Reglas de análisis
      • Reglas de detección personalizadas

  6. Seleccione Guardar para aplicar la nueva configuración.

Soporte de tablas para límites de registros básicos y lenguaje KQL

Todas las tablas de Log Analytics son tablas de Analytics, de forma predeterminada. Puede configurar tablas concretas para usar registros básicos. No puede configurar una tabla para registros básicos si Azure Monitor se basa en esa tabla para características específicas.

Actualmente, puede configurar las tablas siguientes para los registros básicos:

  • Todas las tablas creadas con la API de registros personalizados basada en reglas de recopilación de datos (DCR).
  • ContainerLogV2, que Container Insights usa y que incluye registros de registro detallados basados en texto.
  • AppTraces, que contiene registros de forma libre para seguimientos de aplicaciones en Application Insights.

Las consultas en los registros básicos están optimizadas para la recuperación de datos simples mediante un subconjunto del lenguaje KQL, incluidos los operadores siguientes:

  • ¿dónde?
  • extend
  • proyecto
  • project-away
  • project-keep
  • renombrar proyecto
  • reordenar el proyecto
  • analizar
  • parse-where

No se admite el siguiente KQL:

  • unirse
  • union
  • agregados (resumen)