Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para Microsoft Sentinel áreas de trabalho ligadas ao Defender, a gestão de camadas e retenção tem de ser feita a partir da nova experiência de gestão de tabelas no portal do Defender. Para áreas de trabalho Microsoft Sentinel desanexadas, continue a utilizar as experiências descritas abaixo para gerir dados nas suas áreas de trabalho.
Existem dois aspetos concorrentes da recolha e retenção de registos que são fundamentais para um programa de deteção de ameaças com êxito. Por um lado, quer maximizar o número de origens de registo que recolhe, para que tenha a cobertura de segurança mais abrangente possível. Por outro lado, tem de minimizar os custos incorridos pela ingestão de todos esses dados.
Estas necessidades concorrentes requerem uma estratégia de gestão de registos que equilibre a acessibilidade dos dados, o desempenho das consultas e os custos de armazenamento.
Este artigo aborda categorias de dados e os estados de retenção utilizados para armazenar e aceder aos seus dados. Também descreve as camadas de registo Microsoft Sentinel lhe oferece para criar uma estratégia de retenção e gestão de registos.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Categorias de dados ingeridos
A Microsoft recomenda a classificação dos dados ingeridos em Microsoft Sentinel em duas categorias gerais:
Os dados de segurança principais são dados que contêm um valor de segurança crítico. Estes dados são utilizados para monitorização proativa em tempo real, alertas agendados e análise para detetar ameaças de segurança. Os dados têm de estar prontamente disponíveis para todas as experiências Microsoft Sentinel em tempo quase real.
Os dados de segurança secundários são dados suplementares, muitas vezes em registos verbosos de volume elevado. Estes dados têm um valor de segurança limitado, mas podem fornecer mais riqueza e contexto às deteções e investigações, ajudando a desenhar a imagem completa de um incidente de segurança. Não precisa de estar prontamente disponível, mas deve ser acessível a pedido conforme necessário e em doses adequadas.
Dados de segurança principais
Esta categoria consiste em registos que contêm um valor de segurança crítico para a sua organização. Os principais casos de utilização de dados de segurança para operações de segurança incluem:
Monitorização frequente. As regras de deteção de ameaças (análise) são executadas nestes dados em intervalos frequentes ou quase em tempo real.
Caça a pedido. São executadas consultas complexas sobre estes dados para executar a investigação interativa e de elevado desempenho para ameaças de segurança.
Correlação. Os dados destas origens estão correlacionados com dados de outras origens de dados de segurança primárias para detetar ameaças e criar histórias de ataques.
Relatórios regulares. Os dados destas origens estão prontamente disponíveis para compilação em relatórios regulares do estado de funcionamento de segurança da organização, tanto para os responsáveis pela segurança como para os decisores gerais.
Análise de comportamento. Os dados destas origens são utilizados para criar perfis de comportamento de linha de base para os seus utilizadores e dispositivos, permitindo-lhe identificar comportamentos periféricos como suspeitos.
Alguns exemplos de origens de dados principais incluem:
- Registos de sistemas de deteção e resposta (EDR) antivírus ou empresariais
- Registos de autenticação
- Registos de auditoria a partir de plataformas na cloud
- Feeds de informações sobre ameaças
- Alertas de sistemas externos
Os registos que contêm dados de segurança principais devem ser armazenados com a camada de análise.
Dados de segurança secundários
Esta categoria abrange registos cujo valor de segurança individual é limitado, mas é essencial para fornecer uma vista abrangente de um incidente de segurança ou violação. Normalmente, estes registos são de volume elevado e podem ser verbosos. Os casos de utilização das operações de segurança para estes dados incluem o seguinte:
Inteligência contra ameaças. Os dados primários podem ser verificados em relação a listas de Indicadores de Compromisso (IoC) ou Indicadores de Ataque (IoA) para detetar ameaças de forma rápida e fácil.
Investigação/investigação ad hoc. Os dados podem ser consultados interativamente durante 30 dias, facilitando uma análise crucial para investigação e investigação de ameaças.
Pesquisas em grande escala. Os dados podem ser ingeridos e procurados em segundo plano à escala de petabytes, enquanto são armazenados de forma eficiente com processamento mínimo.
Resumo através de tarefas KQL. Resuma os registos de volume elevado em informações agregadas e armazene os resultados na camada de análise.
Alguns exemplos de origens de registo de dados secundárias são registos de acesso ao armazenamento na cloud, registos do NetFlow, registos de certificados TLS/SSL, registos de firewall, registos de proxy e registos IoT.
Para registos que contenham dados de segurança secundários, utilize o Microsoft Sentinel data lake, que foi concebido para oferecer capacidades de escalabilidade, flexibilidade e integração melhoradas para cenários avançados de segurança e conformidade.
Camadas de gestão de registos
Microsoft Sentinel fornece duas camadas de armazenamento de registos diferentes, ou tipos, para acomodar estas categorias de dados ingeridos.
O plano de camada de análise foi concebido para armazenar dados de segurança primários e torná-lo fácil e constantemente acessível a um elevado desempenho.
A camada do data lake está otimizada para armazenar dados de segurança secundários de forma económica ao longo de longos períodos, mantendo simultaneamente a acessibilidade.
Escalão de análise
Por predefinição, o escalão de análise mantém os dados no estado de retenção interativo durante 90 dias , extensíveis até dois anos. Este estado interativo, embora dispendioso, permite-lhe consultar os seus dados de forma ilimitada, com elevado desempenho, sem custos por consulta.
Camada do Data Lake
Microsoft Sentinel data lake é um data lake moderno e totalmente gerido que unifica e retém dados de segurança em escala, permitindo análises avançadas em várias modalidades e deteção de ameaças com tecnologia de IA. Permite que as equipas de segurança investiguem ameaças a longo prazo, melhorem alertas e criem linhas de base comportamentais com meses de dados.
Quando a retenção total é configurada para ser mais longa do que a retenção do escalão de análise ou quando o período de retenção da camada de análise termina, os dados armazenados para além da retenção da camada de análise continuam a ser acessíveis na camada do data lake.
Conteúdo relacionado
- Para saber mais sobre Microsoft Sentinel data lake, veja Microsoft Sentinel data lake.
- Para integrar no data lake Microsoft Sentinel, veja Integrar dados para Microsoft Sentinel data lake.