Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para IoT armazena dados no Microsoft portal do Azure, em sensores de rede OT.
Cada tipo de armazenamento tem diferentes opções de capacidade de armazenamento e tempos de retenção. Este artigo descreve a política de retenção de dados para a quantidade de dados e o período de tempo em que os dados são armazenados em cada tipo de armazenamento antes de serem eliminados ou substituídos.
O que estamos a recolher?
O Defender para IoT recolhe informações dos seus dispositivos configurados e armazena-as num inquilino específico, dedicado ao cliente e segregado. Os dados armazenados são para fins de administração, controlo e relatórios.
As informações recolhidas incluem dados de ligação de rede (IPs e portas) e detalhes do dispositivo (identificadores do dispositivo, nomes, versões do sistema operativo, versões de firmware). O Defender para IoT armazena estes dados de forma segura de acordo com as práticas de privacidade da Microsoft e as políticas do Centro de Confiança da Microsoft.
Estes dados permitem que o Defender para IoT:
- Identifique proativamente indicadores de ataque (IOAs) na sua organização.
- Gerar alertas se for detetado um possível ataque.
- Forneça à sua equipa de segurança uma vista sobre dispositivos e endereços relacionados com sinais de ameaças da sua rede, permitindo-lhe investigar e explorar possíveis ameaças de segurança de rede.
A Microsoft não utiliza os seus dados para publicidade.
Localização dos dados
O Defender para IoT utiliza os datacenters do Microsoft Azure na União Europeia e no Estados Unidos. Os dados do cliente recolhidos pelo serviço podem ser armazenados numa de duas localizações geográficas:
- A geolocalização do inquilino, conforme identificado durante o aprovisionamento.
- A geolocalização, conforme definido pelas regras de armazenamento de dados de um serviço online, que é utilizada pelo Defender para IoT para processar os respetivos dados.
Retenção de dados
Os dados do Defender para IoT são retidos enquanto um cliente estiver ativo ou durante 90 dias após o fim do contrato. Durante este período, os dados são visíveis nos outros serviços no portal.
Os seus dados são mantidos e estão disponíveis enquanto a sua licença estiver num período de tolerância ou em modo suspenso. 90 dias após o fim deste período, os seus dados são apagados dos sistemas da Microsoft, tornando-os irrecuperáveis.
Períodos de retenção de dados do dispositivo
A tabela seguinte lista durante quanto tempo os dados do dispositivo são armazenados em cada tipo de armazenamento do Defender para IoT.
| Tipo de armazenamento | Detalhes |
|---|---|
| Portal do Azure | 90 dias a partir da data do valor Última atividade . Para obter mais informações, veja Gerir o inventário de dispositivos a partir do portal do Azure. |
| Sensor de rede OT | 90 dias a partir da data do valor Última atividade . Para obter mais informações, veja Gerir o inventário de dispositivos OT a partir de uma consola do sensor. |
Retenção de dados de alerta
A tabela seguinte lista durante quanto tempo os dados de alerta são armazenados em cada tipo de armazenamento do Defender para IoT. Os dados de alerta são armazenados como listados, independentemente da status do alerta ou se foram aprendidos ou desativados.
| Tipo de armazenamento | Detalhes |
|---|---|
| Portal do Azure | 90 dias a partir da data no primeiro valor de deteção . Para obter mais informações, veja Ver e gerir alertas do portal do Azure. |
| Sensor de rede OT | 90 dias a partir da data no primeiro valor de deteção . Para obter mais informações, veja Ver alertas no sensor. |
Retenção de dados PCAP de alerta de OT
A tabela seguinte indica durante quanto tempo os dados PCAP são armazenados em cada tipo de armazenamento do Defender para IoT.
| Tipo de armazenamento | Detalhes |
|---|---|
| Portal do Azure | Os ficheiros PCAP estão disponíveis para transferência a partir do portal do Azure desde que o sensor de rede OT os armazene. Depois de transferidos, os ficheiros são colocados em cache no portal do Azure durante 48 horas. Para obter mais informações, veja Dados PCAP de alertas do Access. |
| Sensor de rede OT | Depende da capacidade de armazenamento do sensor alocada para ficheiros PCAP, que determina o respetivo perfil de hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2,5 GB Se um sensor exceder a capacidade de armazenamento máxima, o ficheiro PCAP mais antigo será eliminado para acomodar o novo. Para obter mais informações, veja Access alert PCAP data and Pre-configured physical appliances for OT monitoring (Alerta de acesso a dados PCAP e Aplicações físicas pré-configuradas para monitorização de OT). |
A utilização do espaço de armazenamento PCAP disponível depende de fatores como o número de alertas, o tipo de alerta e a largura de banda de rede, que afetam o tamanho do ficheiro PCAP.
Dica
Para evitar depender da capacidade de armazenamento do sensor, utilize o armazenamento externo para fazer uma cópia de segurança dos seus dados PCAP.
Retenção de recomendações de segurança
As recomendações de segurança do Defender para IoT são armazenadas apenas no portal do Azure, durante 90 dias a partir do momento em que a recomendação é detetada pela primeira vez.
Para obter mais informações, veja Melhorar a postura de segurança com recomendações de segurança.
Retenção de linha do tempo de eventos OT
O evento OT linha do tempo dados são armazenados apenas em sensores de rede OT e a capacidade de armazenamento difere consoante o perfil de hardware do sensor.
A retenção de dados de linha do tempo de eventos não é limitada por tempo. No entanto, assumindo uma frequência de 500 eventos por dia, todos os perfis de hardware são capazes de manter os eventos durante, pelo menos, 90 dias.
Se um sensor exceder o tamanho máximo de armazenamento, o evento mais antigo linha do tempo ficheiro de dados é eliminado para acomodar o novo.
A tabela seguinte lista o número máximo de eventos que podem ser armazenados para cada perfil de hardware:
| Perfil de hardware | Número de eventos |
|---|---|
| C5600 | Eventos de 10 M |
| E1800 | Eventos de 10 M |
| E1000 | Eventos de 6M |
| E500 | Eventos de 6M |
| L500 | Eventos de 3M |
| L100 | Eventos de 500 K |
Para obter mais informações, veja Controlar a atividade do sensor e Aplicações físicas pré-configuradas para monitorização de OT.
Retenção de ficheiros de registo OT
Os ficheiros de registo de serviço e processamento são armazenados no portal do Azure durante 30 dias a partir da data de criação.
Outros ficheiros de registo de monitorização OT são armazenados apenas no sensor de rede OT.
Para saber mais, confira:
Capacidade do ficheiro de cópia de segurança
O sensor de rede OT tem cópias de segurança automatizadas em execução diariamente e os ficheiros de cópia de segurança mais antigos são substituídos quando a capacidade de armazenamento configurada atinge o limite.
Para saber mais, confira:
Cópias de segurança no sensor de rede OT
A retenção de ficheiros de cópia de segurança depende da arquitetura do sensor, uma vez que cada perfil de hardware tem uma quantidade definida de espaço em disco rígido alocado para o histórico de cópias de segurança:
| Perfil de hardware | Espaço em disco rígido alocado |
|---|---|
| L100 | As cópias de segurança não são suportadas |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Partilha de dados para Microsoft Defender para IoT
Microsoft Defender para IoT partilha dados, incluindo dados de clientes, entre os seguintes produtos Microsoft, também licenciados pelo cliente.
- Microsoft Defender XDR
- Microsoft Sentinel
- Centro de Informações sobre Ameaças da Microsoft
- Microsoft Defender para Nuvem
- Microsoft Defender para Ponto de Extremidade
- Gerenciamento de Exposição da Segurança da Microsoft
Próximas etapas
Para saber mais, confira: