Compartilhar via


Retenção, privacidade e compartilhamento de dados no Microsoft Defender para IoT

O Microsoft Defender para IoT armazena dados no portal do Microsoft Azure, em sensores de rede OT e em consoles de gerenciamento locais.

Cada tipo de armazenamento tem diferentes opções de capacidade de armazenamento e tempos de retenção. Este artigo descreve a política de retenção de dados para a quantidade de dados e o tempo em que os dados são armazenados em cada tipo de armazenamento antes de serem excluídos ou substituídos.

O que estamos coletando?

O Defender para IoT coleta informações de seus dispositivos configurados e as armazena em um locatário específico, dedicado ao cliente e segregado. Os dados armazenados são para fins de administração, acompanhamento e relatório.

As informações coletadas incluem dados de conexão de rede (IPs e portas) e detalhes do dispositivo (identificadores de dispositivo, nomes, versões do sistema operacional, versões de firmware). O Defender para IoT armazena esses dados com segurança de acordo com as práticas de privacidade da Microsoft e as políticas da Central de Confiabilidade da Microsoft.

Esses dados permitem que o Defender para IoT:

  • Identificar proativamente indicadores de ataque (IOAs) em sua organização.
  • Gere alertas se um possível ataque for detectado.
  • Forneça à sua equipe de segurança uma exibição sobre dispositivos e endereços relacionados a sinais de ameaça de sua rede, permitindo que você investigue e explore possíveis ameaças à segurança de rede.

A Microsoft não usa os seus dados para publicidade.

Localização dos dados

O Defender para IoT usa os data centers do Microsoft Azure na União Europeia e nos Estados Unidos. Os dados do cliente coletados pelo serviço podem ser armazenados em uma de duas localizações geográficas:

  • A localização geográfica do locatário, conforme identificada durante o provisionamento.
  • A localização geográfica, conforme definida pelas regras de armazenamento de dados de um serviço online, que é usada pelo Defender para IoT para processar os seus dados.

Retenção de dados

Os dados do Defender para IoT são mantidos enquanto um cliente estiver ativo ou por 90 dias após o término do contrato. Durante esse período, os dados ficam visíveis em seus outros serviços no portal.

Seus dados são mantidos e estão disponíveis enquanto sua licença está em um período de carência ou no modo suspenso. 90 dias após o fim desse período, os seus dados são apagados dos sistemas da Microsoft, tornando-se irrecuperáveis.

Períodos de retenção de dados do dispositivo

A tabela a seguir lista por quanto tempo os dados do dispositivo são armazenados em cada tipo de armazenamento do Defender para IoT.

Tipo de armazenamento Detalhes
Azure portal 90 dias a partir da data do valor Última atividade.

Para obter mais informações, confira Gerenciar o inventário de dispositivos no portal do Azure.
Sensores de rede de OT 90 dias a partir da data do valor Última atividade.

Para obter mais informações, confira Gerenciar o inventário de dispositivos OT em um console de sensor.
Console de gerenciamento local 90 dias a partir da data do valor Última atividade.

Para obter mais informações, consulte Gerenciar seu inventário de dispositivos OT em um console de gerenciamento local.

Retenção de dados de alertas

A tabela a seguir lista por quanto tempo os dados de alerta são armazenados em cada tipo de armazenamento do Defender para IoT. Os dados de alerta são armazenados como listados, independentemente do status do alerta ou se ele foi aprendido ou silenciado.

Tipo de armazenamento Detalhes
Azure portal 90 dias a partir da data no valor Primeira detecção.

Para obter mais informações, confira Exibir e gerenciar alertas do portal do Azure.
Sensores de rede de OT 90 dias a partir da data no valor Primeira detecção.

Para obter mais informações, consulte Exibir alertas no sensor.
Console de gerenciamento local 90 dias a partir da data no valor Primeira detecção.

Para obter mais informações, confira Trabalhar com alertas no console de gerenciamento local.

Retenção de dados PCAP de alerta de OT

A tabela a seguir lista por quanto tempo os dados do PCAP são armazenados em cada tipo de armazenamento do Defender para IoT.

Tipo de armazenamento Detalhes
Azure portal Os arquivos PCAP estão disponíveis para download no portal do Azure desde que o sensor de rede de OT os armazene.

Depois de baixados, os arquivos são armazenados em cache no portal do Azure por 48 horas.

Para obter mais informações, confira o tópico Acessar dados PCAP de alerta.
Sensores de rede de OT Dependendo da capacidade de armazenamento do sensor alocada para arquivos PCAP, o que determina o seu perfil de hardware:

- C5600: 130 GB
- E1800: 130 GB
- E1000 : 78 GB
- E500: 78 GB
- L500: 7 GB
- L100: 2.5 GB

Se um sensor exceder sua capacidade máxima de armazenamento, o arquivo PCAP mais antigo será excluído para acomodar o novo.

Para obter mais informações, confira Acessar dados PCAP do alerta e Dispositivos físicos pré-configurados para monitoramento de OT.
Console de gerenciamento local Os arquivos PCAP não são armazenados no console de gerenciamento local e só podem ser acessados a partir do console de gerenciamento local por meio de um link direto para o sensor de OT.

O uso do espaço de armazenamento PCAP disponível depende de fatores como o número de alertas, o tipo do alerta e a largura de banda da rede, que afetam o tamanho do arquivo PCAP.

Dica

Para que não dependa tanto da capacidade de armazenamento do sensor, use o armazenamento externo para fazer backup dos dados PCAP.

Retenção da recomendação de segurança

As recomendações de segurança do Defender para IoT são armazenadas apenas no portal do Azure, por 90 dias, a partir da data em que a recomendação foi detectada pela primeira vez.

Para obter mais informações, confira Aprimorar a postura de segurança com recomendações de segurança.

Retenção da linha do tempo do evento de OT

Os dados da linha do tempo do evento de OT são armazenados apenas em sensores de rede de OT e a capacidade de armazenamento é diferente dependendo do perfil de hardware do sensor.

A retenção de dados da linha do tempo do evento não é limitada pelo tempo. No entanto, supondo uma frequência de 500 eventos por dia, todos os perfis de hardware são capazes de manter os eventos por pelo menos 90 dias.

Se um sensor exceder seu tamanho máximo de armazenamento, o arquivo de dados da linha do tempo do evento mais antigo será excluído para acomodar o novo.

A tabela a seguir lista o número máximo de eventos que podem ser armazenados em cada perfil de hardware:

Perfil de hardware Número de eventos
C5600 10M de eventos
E1800 10M de eventos
E1000 6M de eventos
E500 6M de eventos
L500 3M de eventos
L100 500 mil eventos

Para obter mais informações, confira Acompanhar a atividade do sensor e Dispositivos físicos pré-configurados para monitoramento de OT.

Retenção de arquivos de log de OT

Os arquivos de log de serviço e processamento são armazenados no portal do Azure por 30 dias a partir da data de criação.

Outros arquivos de log de monitoramento de OT são armazenados apenas no sensor de rede de OT e no console de gerenciamento local.

Para obter mais informações, consulte:

Capacidade do arquivo de backup

O sensor de rede de OT e o console de gerenciamento local têm backups automatizados em execução diariamente e arquivos de backup mais antigos são substituídos quando a capacidade de armazenamento configurada atinge o seu limite.

Para saber mais, veja:

Backups no sensor de rede de OT

A retenção de arquivos de backup depende da arquitetura do sensor, pois cada perfil de hardware tem uma quantidade definida de espaço alocado em disco rígido para o histórico de backup:

Perfil de hardware Espaço alocado em disco rígido
L100 Não há suporte para backups
L500 20 GB
E1000 60 GB
E1800 100 GB
C5600 100 GB

Se o dispositivo não puder alocar espaço suficiente em disco rígido, somente o último backup será salvo no console de gerenciamento local.

Backups no console de gerenciamento local

O espaço alocado em disco rígido para arquivos de backup do console de gerenciamento local está limitado a 10 GB e apenas 20 backups.

Se você estiver usando um console de gerenciamento local, cada sensor de OT conectado também terá seu próprio diretório de backup extra no console de gerenciamento local:

  • O tamanho máximo de um único arquivo de backup do sensor é limitado a 40 GB. Um arquivo que excede esse tamanho não é enviado para o console de gerenciamento local.
  • O espaço total alocado em disco rígido para o backup do sensor de todos os sensores no console de gerenciamento local é de 100 GB.

Compartilhamento de dados para o Microsoft Defender para IoT

O Microsoft Defender para IoT compartilha dados, incluindo dados do cliente, entre os seguintes produtos da Microsoft, também licenciados pelo cliente.

  • Microsoft Defender XDR
  • Microsoft Sentinel
  • Centro de Informações sobre Ameaças da Microsoft
  • Microsoft Defender para Nuvem
  • Microsoft Defender para ponto de extremidade
  • Gerenciamento de Exposição de Segurança da Microsoft

Próximas etapas

Para obter mais informações, consulte: