O volume de logs e telemetria vindo de ambientes cloud, híbridos e SaaS cresce em um ritmo que frequentemente supera a capacidade dos times de segurança de gerenciar custos e atender a requisitos de governança. O desafio clássico do SIEM (Security Information and Event Management) sempre foi o trade-off entre centralizar tudo para ter visibilidade total versus os custos proibitivos de ingestão e armazenamento.
Com o lançamento da funcionalidade de data federation do Microsoft Sentinel, atualmente em public preview, a Microsoft tenta romper esse paradigma. Ao utilizar o Microsoft Fabric, a solução permite realizar consultas em fontes externas — como Azure Data Lake Storage (ADLS) Gen 2 e Azure Databricks — diretamente no data lake do Sentinel, eliminando a necessidade de replicação ou movimentação de dados puramente para fins de análise.
O valor estratégico: Governança e Eficiência
Para empresas brasileiras, especialmente as que operam em setores altamente regulados (como finanças, saúde ou varejo com grande volume de transações), a soberania sobre onde o dado reside é crítica. A proposta do data federation é manter os dados em sua fonte original, o que atende a políticas rigorosas de residência de dados e, simultaneamente, permite que o SOC mantenha uma visão centralizada.
Esta abordagem traz implicações práticas imediatas para times de engenharia e operações:
- Redução de custos (FinOps): Ao federar dados, você evita a ingestão desnecessária de grandes volumes de telemetria de baixo valor, pagando pelo armazenamento mais econômico na origem e consumindo recursos de compute apenas quando necessário.
- Investigação com contexto estendido: Analistas podem realizar consultas baseadas em KQL (Kusto Query Language) que cruzam dados nativos do Sentinel com telemetrias de negócios ou logs legados sem a complexidade de um deployment de ETL (Extract, Transform, Load).
- Evolução orientada ao valor: A arquitetura permite que times de segurança iniciem investigações sobre dados federados e, apenas quando um dataset se mostra essencial para correlação e detecção, o time promove o seu ingestion para o data lake do Sentinel para automação e análise via IA.
Casos de uso e pontos de atenção
Para o SOC, a transição para um modelo de data federation significa que o Sentinel passa a atuar mais como uma camada de orquestração do que apenas um repositório central. Isso facilita investigações que exigem anos de dados históricos, pois evita o retrabalho de backfilling ou re-ingestão de logs, reduzindo drasticamente o tempo de resposta (MTTR).
Entretanto, é vital notar que, embora potente, o acesso a dados federados pode impactar a latency das consultas, dependendo da performance da fonte original. A recomendação consultiva é garantir que a infraestrutura onde os dados residem (como o Databricks ou o ADLS) esteja devidamente otimizada para o volume de requisições que uma ferramenta de monitoramento irá exigir.
Este movimento da Microsoft sinaliza que o futuro do ecossistema de segurança na nuvem não está na centralização absoluta, mas na capacidade de integrar silos de dados com segurança e governança. Empresas que adotarem essa maturidade data-centric poderão, em última instância, elevar a qualidade das suas detecções enquanto mantêm o controle rigoroso sobre onde cada bit de informação é armazenado.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
