Microsoft ha anunciado la disponibilidad general (GA) de la ingesta en tier Data Lake para las tablas de Advanced Hunting de Microsoft XDR directamente en Microsoft Sentinel Data Lake. Esta es una de las novedades más relevantes del mes en el ecosistema Sentinel, y si gestionas entornos con Defender for Endpoint, Defender for Office 365 o Defender for Cloud Apps, te interesa entender bien qué cambia y qué puedes hacer ahora.
¿De es esto exactamente?
Hasta ahora, los datos de Advanced Hunting en Microsoft Defender XDR estaban pensados para operaciones de seguridad en tiempo casi real: detecciones, consultas directas, alertas. Sin embargo, las organizaciones generan volúmenes masivos de telemetría de alta fidelidad desde endpoints, identidades, apps en la nube y correo electrónico, y eso plantea un problema serio: ¿cómo almacenas todo eso durante años sin que el coste se dispare?
La respuesta de Microsoft es el Sentinel Data Lake, y con esta GA se extiende para aceptar directamente los datos de Advanced Hunting sin necesidad de pasar primero por el tier Analytics (Log Analytics). Esto es lo que cambia el juego.
¿Qué tablas están ya soportadas?
Con esta disponibilidad general, puedes ingestar datos directamente al Data Lake desde las siguientes fuentes y tablas:
Microsoft Defender for Endpoint (MDE)
DeviceInfo, DeviceNetworkInfo, DeviceProcessEvents, DeviceNetworkEvents,
DeviceFileEvents, DeviceRegistryEvents, DeviceLogonEvents, DeviceImageLoadEvents, DeviceEvents, DeviceFileCertificateInfoMicrosoft Defender for Office 365 (MDO)
EmailAttachmentInfo, EmailEvents, EmailPostDeliveryEvents, EmailUrlInfo, UrlClickEventsMicrosoft Defender for Cloud Apps (MDA)
CloudAppEvents⚠️ Microsoft Defender for Identity (MDI) quedará fuera por ahora, pero Microsoft ha confirmado que el soporte llegará próximamente.
¿Qué aporta la ingesta en Data Lake Tier?
Estos son los beneficios concretos que trae esta arquitectura lake-first:
- Retención extendida hasta 12 años: los datos almacenados en el Data Lake pueden conservarse mucho más allá de los límites habituales del tier Analytics, lo que es crítico para compliance, auditorías y threat research retrospectivo.
- Reducción de costes a escala: el modelo de almacenamiento lake-optimizado está diseñado para volúmenes masivos, sin el coste de ingestión del tier Analytics de Log Analytics.
- Consultas KQL nativas: puedes seguir usando KQL para explorar estos datos a través del KQL Explorer, KQL Jobs y Notebook Jobs, integrados en el portal de Defender.
- Integración con IA mediante MCP Server: los datos del lake se pueden conectar con herramientas de IA a través del MCP Server para análisis interactivos del entorno.
- Threat hunting visual con Sentinel Graphs: permite visualizar relaciones y mapas del escenario de amenazas usando los custom graphs de Sentinel.
- Arquitectura desacoplada: el workspace de Sentinel sigue optimizado para detección en tiempo real y flujos SOC, mientras el Data Lake actúa como repositorio duradero y económico para la telemetría de seguridad.
¿Cómo se activa? Paso a paso
La configuración es sencilla y no requiere cambios en los despliegues existentes de Defender. Se hace desde el propio portal de Defender:
- En el portal de Defender, despliega la sección Microsoft Sentinel en el menú lateral.
- Ve a Configuration → Tables.
- Busca cualquiera de las tablas soportadas (por ejemplo,
DeviceProcessEvents) y haz clic en ella. - En el panel lateral que se abre, selecciona Data Retention Settings.
- Activa el botón junto a «Data lake tier» para que la tabla ingestione directamente en el Sentinel Data Lake.
- Configura el periodo de retención total deseado (hasta 12 años).
- Haz clic en Save.
💡 Importante: Esta configuración mantiene los datos en la tabla de Advanced Hunting durante 30 días para consultas y detecciones personalizadas, mientras una copia se envía al Data Lake para las capacidades de gráficos, MCP Server y retención a largo plazo.
La arquitectura detrás: Analytics vs. Data Lake
Para entender bien el impacto, conviene tener clara la diferencia entre los dos tiers:
| Característica | Analytics Tier | Data Lake Tier |
|---|---|---|
| Coste | Mayor (por GB ingerido) | Menor (optimizado para volumen) |
| Retención | Hasta 2 años (configurable) | Hasta 12 años |
| Consultas en tiempo real | ✅ Sí | ⚠️ Vía KQL Jobs / Explorer |
| Detecciones y alertas | ✅ Nativo | ❌ No directo |
| Threat hunting retrospectivo | Limitado | ✅ Ideal |
| Integración con IA (MCP) | Parcial | ✅ Completa |
Con este modelo, las organizaciones pueden elegir el nivel de ingesta adecuado según sus necesidades operativas, sin duplicar rutas de datos ni incurrir en costes innecesarios.
¿Por qué importa esto en tu día a día?
Si gestionas un entorno con Microsoft Defender y Sentinel, este cambio tiene implicaciones directas:
- Para el SOC: el workspace de Sentinel sigue igual para detecciones en tiempo real; no hay impacto en las reglas analíticas existentes.
- Para threat hunting: ahora puedes hacer hunting retrospectivo sobre meses o años de datos de endpoints, email y cloud apps sin tener que re-ingestar nada.
- Para compliance: retener logs de
DeviceLogonEventsoEmailEventsdurante 12 años a bajo coste es un argumento sólido para auditorías e investigaciones legales. - Para la factura: si tienes altos volúmenes de datos de Defender, mover tablas voluminosas al Data Lake Tier puede suponer un ahorro significativo respecto a mantenerlo todo en Analytics.
