Retención, privacidad y uso compartido de datos en Microsoft Defender para IoT
Microsoft Defender para IoT almacena datos en Microsoft Azure Portal, en sensores de red de OT y en consolas de administración locales.
Cada tipo de almacenamiento tiene distintas opciones de capacidad de almacenamiento y tiempos de retención. En este artículo se describe la directiva de retención de datos para la cantidad de datos y el período de tiempo que los datos se almacenan en cada tipo de almacenamiento antes de eliminarlos o sobrescribirlos.
¿Qué recopilamos?
Defender para IoT recopila información de los dispositivos configurados y lo almacena en un inquilino específico de servicio, dedicado al cliente y separado. Los datos almacenados son para fines de administración, seguimiento e informes.
La información recopilada incluye datos de conexión de red (direcciones IP y puertos) y detalles del dispositivo (identificadores de dispositivo, nombres, versiones de sistema operativo, versiones de firmware). Defender para IoT almacena estos datos de forma segura de acuerdo con las prácticas de privacidad de Microsoft y directivas del Centro de confianza de Microsoft.
Estos datos permiten que Defender para IoT:
- Identificar de forma proactiva indicadores de ataque (IOA) en su organización.
- Genere alertas si se detecta un posible ataque.
- Proporcione a su equipo de seguridad una vista a los dispositivos y direcciones relacionados con las señales de amenazas de la red, lo que le permite investigar y explorar posibles amenazas de seguridad de red.
Microsoft no usa sus datos para la publicidad.
Ubicación de datos
Defender para IoT usa los centros de datos de Microsoft Azure en la Unión Europea y Estados Unidos. Los datos del cliente recopilados por el servicio pueden almacenarse en una de estas dos ubicaciones geográficas:
- Ubicación geográfica del inquilino tal como se identifica durante el aprovisionamiento.
- La geolocalización tal como se define en las reglas de almacenamiento de datos de un servicio en línea, que usa Defender para IoT para procesar sus datos.
Retención de datos
Los datos de Defender para IoT se conservan durante tanto tiempo como un cliente esté activo o durante 90 días después del final del contrato. Durante este período, los datos están visibles en los demás servicios del portal.
Los datos se conservan y están disponibles mientras la licencia está bajo un período de gracia o en modo suspendido. 90 días después del final de este período, los datos se borran de los sistemas de Microsoft, lo que hace que sea irrecuperable.
Períodos de retención de datos del dispositivo
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos del dispositivo en cada tipo de almacenamiento de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de dispositivos IoT por medio del inventario de dispositivos para organizaciones. |
| Sensor de red de OT | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de dispositivos OT por medio del inventario de consola del sensor. |
| Consola de administración local | 90 días a partir de la fecha del valor Ultima actividad. Para más información, consulte Administración de su inventario de dispositivos OT desde una consola de administración local. |
Retención de datos de alerta
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos de alerta en cada tipo de almacenamiento de Defender para IoT. Los datos de alerta se almacenan como se enumeran, independientemente del estado de la alerta, o si se han aprendido o silenciado.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | 90 días a partir de la fecha del valor Primera detección. Para obtener más información, consulte Visualización y administración de alertas desde el Azure Portal. |
| Sensor de red de OT | 90 días a partir de la fecha del valor Primera detección. Para obtener más información, consulte Visualización de alertas en el sensor. |
| Consola de administración local | 90 días a partir de la fecha del valor Primera detección. Para más información, consulte Trabajo con alertas en la consola de administración local. |
Retención de datos de PCAP de alertas de OT
En la tabla siguiente se muestra cuánto tiempo se almacenan los datos PCAP en cada tipo de almacenamiento de Defender para IoT.
| Tipo de almacenamiento | Detalles |
|---|---|
| Azure Portal | Los archivos PCAP se pueden descargar desde Azure Portal, siempre y cuando el sensor de red de OT los almacene. Una vez descargados, los archivos se almacenan en caché en Azure Portal durante 48 horas. Para más información, consulte Acceso a los datos de PCAP de alerta. |
| Sensor de red de OT | Depende de la capacidad de almacenamiento del sensor asignada para los archivos PCAP, que determina su perfil de hardware: - C5600: 130 GB - E1800: 130 GB - E1000 : 78 GB - E500: 78 GB - L500: 7 GB - L100: 2.5 GB Si un sensor supera su capacidad de almacenamiento máxima, se elimina el archivo PCAP más antiguo para admitir el nuevo. Para más información, consulte Acceso a los datos de PCAP de alerta y Dispositivos físicos preconfigurados para la supervisión de OT. |
| Consola de administración local | Los archivos PCAP no se almacenan en la consola de administración local y solo se accede a ellos desde la consola de administración local a través de un vínculo directo al sensor de OT. |
El uso del espacio de almacenamiento de PCAP disponible depende de factores como la cantidad de alertas, el tipo de la alerta y el ancho de banda de la red, todos ellos afectan al tamaño del archivo PCAP.
Sugerencia
Para evitar depender de la capacidad de almacenamiento del sensor, use el almacenamiento externo para hacer copias de seguridad de los datos de PCAP.
Retención de recomendaciones de seguridad
Las recomendaciones de seguridad de Defender para IoT solo se almacenan en Azure Portal durante 90 días desde que se detecta la recomendación por primera vez.
Para obtener más información, consulte Mejora de la posición de seguridad con recomendaciones de seguridad.
Retención de la escala de tiempo de eventos de OT
Los datos de la escala de tiempo de eventos de OT solo se almacenan en sensores de red de OT y la capacidad de almacenamiento difiere en función del perfil de hardware del sensor.
La retención de los datos de la escala de tiempo de eventos no se ve limitada por el tiempo. Sin embargo, suponiendo una frecuencia de 500 eventos al día, todos los perfiles de hardware pueden conservar los eventos durante al menos 90 días.
Si un sensor supera su tamaño de almacenamiento máximo, se elimina el archivo de datos de la escala de tiempo de eventos más antiguo para admitir el nuevo.
En la tabla siguiente se muestra la cantidad máxima de eventos que se pueden almacenar de cada perfil de hardware:
| Perfil de hardware | Cantidad de eventos |
|---|---|
| C5600 | 10 millones de eventos |
| E1800 | 10 millones de eventos |
| E1000 | 6 millones de eventos |
| E500 | 6 millones de eventos |
| L500 | 3 millones de eventos |
| L100 | 500 000 eventos |
Para más información, consulte Seguimiento de la actividad del sensor y Dispositivos físicos preconfigurados para la supervisión de OT.
Retención de archivos de registro de OT
Los archivos de registro de procesamiento y servicio se almacenan en Azure Portal durante 30 días a partir de su fecha de creación.
Otros archivos de registro de supervisión de OT solo se almacenan en el sensor de red de OT y en la consola de administración local.
Para más información, consulte:
Capacidad del archivo de copia de seguridad
Tanto el sensor de red de OT como la consola de administración local tienen copias de seguridad automatizadas que se ejecutan diariamente y los archivos de copia de seguridad anteriores se sobrescriben cuando la capacidad de almacenamiento configurada alcanza su límite.
Para más información, vea:
- Configuración de archivos de copia de seguridad y restauración de archivos en un sensor de OT
- Configuración de los valores de la copia de seguridad del sensor de OT desde una consola de administración local
Copias de seguridad en el sensor de red de OT
La retención de archivos de copia de seguridad depende de la arquitectura del sensor, ya que cada perfil de hardware tiene una cantidad establecida de espacio en disco duro asignado para el historial de copias de seguridad:
| Perfil de hardware | Espacio en disco duro asignado |
|---|---|
| L100 | No se admiten copias de seguridad |
| L500 | 20 GB |
| E1000 | 60 GB |
| E1800 | 100 GB |
| C5600 | 100 GB |
Si el dispositivo no puede asignar suficiente espacio en disco duro, solo se guarda la última copia de seguridad en la consola de administración local.
Copias de seguridad en la consola de administración local
El espacio en disco duro asignado para los archivos de copia de seguridad de la consola de administración local está limitado a 10 GB y a solo 20 copias de seguridad.
Si se utiliza una consola de administración local, cada sensor de OT conectado también tendrá su propio directorio de copia de seguridad adicional en la consola de administración local:
- Un único archivo de copia de seguridad del sensor está limitado a un máximo de 40 GB. Un archivo que supere ese tamaño no se envía a la consola de administración local.
- El espacio total en disco duro asignado a la copia de seguridad de sensor de todos los sensores de la consola de administración local es de 100 GB.
Uso compartido de datos para Microsoft Defender para IoT
Microsoft Defender para IoT comparte datos, incluidos los datos de los clientes, entre los siguientes productos de Microsoft que también tienen licencia del cliente:
- Microsoft Defender XDR
- Microsoft Sentinel
- Centro de inteligencia sobre amenazas de Microsoft
- Microsoft Defender for Cloud
- Microsoft Defender para punto de conexión
- Administración de exposición de seguridad de Microsoft
Pasos siguientes
Para más información, consulte: