Retención de datos y uso compartido en Microsoft Defender para IoT
Los sensores de Microsoft Defender para IoT aprenden una base de referencia del tráfico de red durante el período de aprendizaje inicial después de la implementación. Esta base de referencia aprendida se almacena de forma indefinida en los sensores.
Además, Defender para IoT almacena otros datos en Azure Portal, en sensores de red de OT y en consolas de administración locales.
Cada ubicación de almacenamiento ofrece una capacidad de almacenamiento y tiempos de retención determinados. En este artículo se describe cuánto de cada tipo de datos se almacena y cuánto tiempo en cada ubicación antes de que se elimine o invalide.
Períodos de retención de datos del dispositivo
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos del dispositivo en cada ubicación de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de dispositivos IoT por medio del inventario de dispositivos para organizaciones. |
| Sensor de red de OT | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de dispositivos OT por medio del inventario de consola del sensor. |
| Consola de administración local | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de su inventario de dispositivos OT desde una consola de administración local. |
Retención de datos de alerta
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos de alerta en cada ubicación de Defender para IoT. Los datos de alerta se almacenan como se enumeran, independientemente del estado de la alerta, o si se han aprendido o silenciado.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | 90 días a partir de la fecha del valor Primera detección. Para obtener más información, consulte Visualización y administración de alertas desde el Azure Portal. |
| Sensor de red de OT | 90 días a partir de la fecha del valor Primera detección. Para obtener más información, consulte Visualización de alertas en el sensor. |
| Consola de administración local | 90 días a partir de la fecha del valor Primera detección. Para más información, consulte Trabajo con alertas en la consola de administración local. |
Retención de datos de PCAP de alertas de OT
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos de PCAP en cada ubicación de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | Los archivos PCAP se pueden descargar desde Azure Portal, siempre y cuando el sensor de red de OT los almacene. Una vez descargados, los archivos se almacenan en caché en Azure Portal durante 48 horas. Para más información, consulte Acceso a los datos de PCAP de alerta. |
| Sensor de red de OT | Depende de la capacidad de almacenamiento del sensor asignada para los archivos PCAP, que viene determinada por su perfil de hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB Si un sensor supera su capacidad de almacenamiento máxima, se elimina el archivo PCAP más antiguo para admitir el nuevo. Para más información, consulte Acceso a los datos de PCAP de alerta y Dispositivos físicos preconfigurados para la supervisión de OT. |
| Consola de administración local | Los archivos PCAP no se almacenan en la consola de administración local y solo se accede a ellos desde la consola de administración local a través de un vínculo directo al sensor de OT. |
El uso del espacio de almacenamiento de PCAP disponible depende de factores como la cantidad de alertas, el tipo de la alerta y el ancho de banda de la red, todos ellos afectan al tamaño del archivo PCAP.
Sugerencia
Para evitar depender de la capacidad de almacenamiento del sensor, use el almacenamiento externo para hacer copias de seguridad de los datos de PCAP.
Retención de recomendaciones de seguridad
Las recomendaciones de seguridad de Defender para IoT solo se almacenan en Azure Portal durante 90 días desde que se detecta la recomendación por primera vez.
Para obtener más información, consulte Mejora de la posición de seguridad con recomendaciones de seguridad.
Retención de la escala de tiempo de eventos de OT
Los datos de la escala de tiempo de eventos de OT solo se almacenan en sensores de red de OT y la capacidad de almacenamiento difiere en función del perfil de hardware del sensor.
La retención de los datos de la escala de tiempo de eventos no se ve limitada por el tiempo. Sin embargo, si se supone una frecuencia de 500 eventos al día, todos los perfiles de hardware podrán retener los eventos durante al menos 90 días.
Si un sensor supera su tamaño de almacenamiento máximo, se elimina el archivo de datos de la escala de tiempo de eventos más antiguo para admitir el nuevo.
En la tabla siguiente se muestra la cantidad máxima de eventos que se pueden almacenar de cada perfil de hardware:
| Perfil de hardware | Cantidad de eventos |
|---|---|
| C5600 | 10 millones de eventos |
| E1800 | 10 millones de eventos |
| E1000 | 6 millones de eventos |
| E500 | 6 millones de eventos |
| L500 | 3 millones de eventos |
| L100 | 500 000 eventos |
Para más información, consulte Seguimiento de la actividad del sensor y Dispositivos físicos preconfigurados para la supervisión de OT.
Retención de archivos de registro de OT
Los archivos de registro de procesamiento y servicio se almacenan en Azure Portal durante 30 días a partir de su fecha de creación.
Otros archivos de registro de supervisión de OT solo se almacenan en el sensor de red de OT y en la consola de administración local.
Para más información, consulte:
Uso compartido de datos
Defender para IoT comparte datos, incluidos los datos de los clientes, entre los siguientes productos de Microsoft que también tienen licencia del cliente:
- Administración de exposición de seguridad de Microsoft
Capacidad del archivo de copia de seguridad local
Tanto el sensor de red de OT como la consola de administración local tienen copias de seguridad automatizadas que se ejecutan a diario.
Tanto en el sensor de OT como en la consola de administración local, los archivos de copia de seguridad anteriores se invalidan cuando la capacidad de almacenamiento configurada ha alcanzado su máximo.
Para más información, consulte:
- Configuración de archivos de copia de seguridad y restauración de archivos en un sensor de OT
- Configuración de los valores de la copia de seguridad del sensor de OT desde una consola de administración local
- Configuración de los valores de la copia de seguridad del sensor de OT desde una consola de administración local
Copias de seguridad en el sensor de red de OT
La retención de archivos de copia de seguridad depende de la arquitectura del sensor, ya que cada perfil de hardware tiene una cantidad establecida de espacio en disco duro asignado para el historial de copias de seguridad:
| Perfil de hardware | Espacio en disco duro asignado |
|---|---|
| L100 | No se admiten las copias de seguridad |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Si el dispositivo no tiene espacio en disco duro asignado, solo se guardará la última copia de seguridad en la consola de administración local.
Copias de seguridad en la consola de administración local
El espacio en disco duro asignado para los archivos de copia de seguridad de la consola de administración local está limitado a 10 GB y a solo 20 copias de seguridad.
Si se utiliza una consola de administración local, cada sensor de OT conectado también tendrá su propio directorio de copia de seguridad adicional en la consola de administración local:
- Un único archivo de copia de seguridad del sensor está limitado a un máximo de 40 GB. Un archivo que supere ese tamaño no se enviará a la consola de administración local.
- El espacio total en disco duro asignado a la copia de seguridad de sensor de todos los sensores de la consola de administración local es de 100 GB.
Pasos siguientes
Para más información, consulte: