Retenção e compartilhamento de dados no Microsoft Defender para IoT
Os sensores do Microsoft Defender para IoT aprendem uma linha de base do tráfego de rede durante o período de aprendizado inicial após a implantação. Essa linha de base aprendida é armazenada indefinidamente em seus sensores.
O Defender para IoT também armazena outros dados no portal do Azure, em sensores de rede de OT e em consoles de gerenciamento locais.
Cada local de armazenamento oferece uma determinada capacidade de armazenamento e tempos de retenção. Esse artigo descreve quanto e por quanto tempo cada tipo de dados é armazenado em cada local antes de ser excluído ou substituído.
Períodos de retenção de dados do dispositivo
A tabela a seguir lista por quanto tempo os dados de dispositivos são armazenados em cada local do Defender para IoT.
| Tipo de armazenamento | Detalhes |
|---|---|
| Azure portal | 90 dias a partir da data do valor Última atividade. Para obter mais informações, confira Gerenciar o inventário de dispositivos no portal do Azure. |
| Sensores de rede de OT | 90 dias a partir da data do valor Última atividade. Para obter mais informações, confira Gerenciar o inventário de dispositivos OT em um console de sensor. |
| Console de gerenciamento local | 90 dias a partir da data do valor Última atividade. Para obter mais informações, consulte Gerenciar seu inventário de dispositivos OT em um console de gerenciamento local. |
Retenção de dados de alertas
A tabela a seguir lista por quanto tempo os dados de alerta são armazenados em cada local do Defender para IoT. Os dados de alerta são armazenados como listados, independentemente do status do alerta ou se ele foi aprendido ou silenciado.
| Tipo de armazenamento | Detalhes |
|---|---|
| Azure portal | 90 dias a partir da data no valor Primeira detecção. Para obter mais informações, confira Exibir e gerenciar alertas do portal do Azure. |
| Sensores de rede de OT | 90 dias a partir da data no valor Primeira detecção. Para obter mais informações, consulte Exibir alertas no sensor. |
| Console de gerenciamento local | 90 dias a partir da data no valor Primeira detecção. Para obter mais informações, confira Trabalhar com alertas no console de gerenciamento local. |
Retenção de dados PCAP de alerta de OT
A tabela a seguir lista por quanto tempo os dados PCAP são armazenados em cada local do Defender para IoT.
| Tipo de armazenamento | Detalhes |
|---|---|
| Azure portal | Os arquivos PCAP estão disponíveis para download no portal do Azure desde que o sensor de rede de OT os armazene. Depois de baixados, os arquivos são armazenados em cache no portal do Azure por 48 horas. Para obter mais informações, confira o tópico Acessar dados PCAP de alerta. |
| Sensores de rede de OT | Dependendo da capacidade de armazenamento do sensor alocada a arquivos PCAP, que é determinada peloperfil de hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB Se um sensor exceder sua capacidade máxima de armazenamento, o arquivo PCAP mais antigo será excluído para acomodar o novo. Para obter mais informações, confira Acessar dados PCAP do alerta e Dispositivos físicos pré-configurados para monitoramento de OT. |
| Console de gerenciamento local | Os arquivos PCAP não são armazenados no console de gerenciamento local e só podem ser acessados a partir do console de gerenciamento local por meio de um link direto para o sensor de OT. |
O uso do espaço de armazenamento PCAP disponível depende de fatores como o número de alertas, o tipo do alerta e a largura de banda da rede, que afetam o tamanho do arquivo PCAP.
Dica
Para que não dependa tanto da capacidade de armazenamento do sensor, use o armazenamento externo para fazer backup dos dados PCAP.
Retenção da recomendação de segurança
As recomendações de segurança do Defender para IoT são armazenadas apenas no portal do Azure, por 90 dias, a partir da data em que a recomendação foi detectada pela primeira vez.
Para obter mais informações, confira Aprimorar a postura de segurança com recomendações de segurança.
Retenção da linha do tempo do evento de OT
Os dados da linha do tempo do evento de OT são armazenados apenas em sensores de rede de OT e a capacidade de armazenamento é diferente dependendo do perfil de hardware do sensor.
A retenção de dados da linha do tempo do evento não é limitada pelo tempo. No entanto, supondo uma frequência de 500 eventos por dia, todos os perfis de hardware poderão reter os eventos por pelo menos 90 dias.
Se um sensor exceder seu tamanho máximo de armazenamento, o arquivo de dados da linha do tempo do evento mais antigo será excluído para acomodar o novo.
A tabela a seguir lista o número máximo de eventos que podem ser armazenados em cada perfil de hardware:
| Perfil de hardware | Número de eventos |
|---|---|
| C5600 | 10M de eventos |
| E1800 | 10M de eventos |
| E1000 | 6M de eventos |
| E500 | 6M de eventos |
| L500 | 3M de eventos |
| L100 | 500 mil eventos |
Para obter mais informações, confira Acompanhar a atividade do sensor e Dispositivos físicos pré-configurados para monitoramento de OT.
Retenção de arquivos de log de OT
Os arquivos de log de serviço e processamento são armazenados no portal do Azure por 30 dias a partir da data de criação.
Outros arquivos de log de monitoramento de OT são armazenados apenas no sensor de rede de OT e no console de gerenciamento local.
Para obter mais informações, consulte:
Compartilhamento de dados
O Defender para IoT compartilha dados, incluindo dados do cliente, entre os seguintes produtos da Microsoft também licenciados pelo cliente:
- Gerenciamento de Exposição de Segurança da Microsoft
Capacidade do arquivo de backup local
O sensor de rede de OT e o console de gerenciamento local têm backups automatizados em execução diariamente.
No sensor de OT e no console de gerenciamento local, os arquivos de backup mais antigos são substituídos quando a capacidade de armazenamento configurada atinge seu máximo.
Para obter mais informações, consulte:
- Configurar arquivos de backup e restauração em um sensor OT
- Definir as configurações de backup do sensor de OT em um console de gerenciamento local
- Definir as configurações de backup do sensor de OT para um console de gerenciamento local
Backups no sensor de rede de OT
A retenção de arquivos de backup depende da arquitetura do sensor, pois cada perfil de hardware tem uma quantidade definida de espaço alocado em disco rígido para o histórico de backup:
| Perfil de hardware | Espaço alocado em disco rígido |
|---|---|
| L100 | Não há suporte para backups |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Se o dispositivo não tiver espaço alocado em disco rígido, somente o último backup será salvo no console de gerenciamento local.
Backups no console de gerenciamento local
O espaço alocado em disco rígido para arquivos de backup do console de gerenciamento local está limitado a 10 GB e apenas 20 backups.
Se você estiver usando um console de gerenciamento local, cada sensor de OT conectado também terá seu próprio diretório de backup extra no console de gerenciamento local:
- O tamanho máximo de um único arquivo de backup do sensor é limitado a 40 GB. Arquivos que excedem esse tamanho não serão enviados para o console de gerenciamento local.
- O espaço total alocado em disco rígido para o backup do sensor de todos os sensores no console de gerenciamento local é de 100 GB.
Próximas etapas
Para obter mais informações, consulte: