Niveaux de rétention des journaux dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Pour Microsoft Sentinel espaces de travail connectés à Defender, la hiérarchisation et la gestion de la rétention doivent être effectuées à partir de la nouvelle expérience de gestion des tables dans le portail Defender. Pour les espaces de travail Microsoft Sentinel non attachés, continuez à utiliser les expériences décrites ci-dessous pour gérer les données dans vos espaces de travail.

Il existe deux aspects concurrents de la collecte et de la rétention des journaux qui sont essentiels à la réussite d’un programme de détection des menaces. D’une part, vous souhaitez optimiser le nombre de sources de journaux que vous collectez, afin de disposer de la couverture de sécurité la plus complète possible. D’autre part, vous devez réduire les coûts induits par l’ingestion de toutes ces données.

Ces besoins concurrents nécessitent une stratégie de gestion des journaux qui équilibre l’accessibilité des données, les performances des requêtes et les coûts de stockage.

Cet article décrit les catégories de données et les états de rétention utilisés pour stocker vos données et y accéder. Il décrit également les niveaux de journalisation Microsoft Sentinel vous propose de créer une stratégie de gestion et de rétention des journaux.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Catégories de données ingérées

Microsoft recommande de classifier les données ingérées dans Microsoft Sentinel en deux catégories générales :

  • Les données de sécurité principales sont des données qui contiennent une valeur de sécurité critique. Ces données sont utilisées pour la surveillance proactive en temps réel, les alertes planifiées et l’analytique afin de détecter les menaces de sécurité. Les données doivent être facilement disponibles pour toutes les expériences Microsoft Sentinel en quasi-temps réel.

  • Les données de sécurité secondaires sont des données supplémentaires, souvent dans des journaux détaillés de volume élevé. Ces données ont une valeur de sécurité limitée, mais elles peuvent fournir une richesse et un contexte supplémentaires pour les détections et les enquêtes, ce qui permet d’obtenir une image complète d’un incident de sécurité. Il n’a pas besoin d’être facilement disponible, mais doit être accessible à la demande en fonction des besoins et aux doses appropriées.

Données de sécurité principales

Cette catégorie se compose des journaux qui contiennent une valeur de sécurité critique pour votre organization. Les principaux cas d’utilisation des données de sécurité pour les opérations de sécurité sont les suivants :

  • Surveillance fréquente. Les règles de détection des menaces (analytique) sont exécutées sur ces données à intervalles fréquents ou en quasi-temps réel.

  • Chasse à la demande. Des requêtes complexes sont exécutées sur ces données pour exécuter une recherche interactive et haute performance des menaces de sécurité.

  • Corrélation. Les données de ces sources sont corrélées avec les données d’autres sources de données de sécurité principales pour détecter les menaces et générer des récits d’attaque.

  • Rapports réguliers. Les données de ces sources sont facilement disponibles pour la compilation dans des rapports réguliers sur l’intégrité de la sécurité de l’organization, à la fois pour les décideurs en matière de sécurité et en général.

  • Analyse du comportement. Les données de ces sources sont utilisées pour créer des profils de comportement de base pour vos utilisateurs et appareils, ce qui vous permet d’identifier les comportements sortants comme suspects.

Voici quelques exemples de sources de données principales :

  • Journaux d’activité à partir de systèmes antivirus ou de détection et de réponse d’entreprise (EDR)
  • Journaux d’authentification
  • Pistes d’audit à partir de plateformes cloud
  • Flux de renseignement sur les menaces
  • Alertes provenant de systèmes externes

Les journaux contenant les données de sécurité principales doivent être stockés à l’aide du niveau analytique.

Données de sécurité secondaires

Cette catégorie englobe les journaux dont la valeur de sécurité individuelle est limitée, mais qui sont essentielles pour fournir une vue complète d’un incident ou d’une violation de sécurité. En règle générale, ces journaux sont volumineux et peuvent être détaillés. Les cas d’usage des opérations de sécurité pour ces données sont les suivants :

  • Intelligence des menaces. Les données primaires peuvent être vérifiées par rapport à des listes d’indicateurs de compromission (IoC) ou d’indicateurs d’attaque (IoA) pour détecter rapidement et facilement les menaces.

  • Repérage/enquêtes ad hoc. Les données peuvent être interrogées de manière interactive pendant 30 jours, ce qui facilite l’analyse cruciale pour la chasse aux menaces et les enquêtes.

  • Recherches à grande échelle. Les données peuvent être ingérées et recherchées en arrière-plan à l’échelle du pétaoctet, tout en étant stockées efficacement avec un traitement minimal.

  • Résumé par le biais de travaux KQL. Résumez les journaux à volume élevé en informations agrégées et stockez les résultats dans le niveau analytique.

Voici quelques exemples de sources de journaux de données secondaires : les journaux d’accès au stockage cloud, les journaux NetFlow, les journaux de certificat TLS/SSL, les journaux de pare-feu, les journaux proxy et les journaux IoT.

Pour les journaux contenant des données de sécurité secondaires, utilisez le lac de données Microsoft Sentinel, qui est conçu pour offrir une scalabilité, une flexibilité et des fonctionnalités d’intégration améliorées pour des scénarios de sécurité et de conformité avancés.

Niveaux de gestion des journaux

Microsoft Sentinel fournit deux niveaux de stockage de journaux différents, ou types, pour prendre en charge ces catégories de données ingérées.

  • Le plan de niveau Analytique est conçu pour stocker les données de sécurité principales et les rendre facilement et constamment accessibles à des performances élevées.

  • Le niveau du lac de données est optimisé pour stocker les données de sécurité secondaires de manière rentable sur des périodes prolongées, tout en conservant l’accessibilité.

Niveau Analytique

Le niveau analytique conserve les données dans l’état de rétention interactive pendant 90 jours par défaut, extensible pendant jusqu’à deux ans. Cet état interactif, bien que coûteux, vous permet d’interroger vos données de manière illimitée, avec des performances élevées, sans frais par requête.

Niveau du lac de données

Microsoft Sentinel data lake est un lac de données moderne et complètement managé qui unifie et conserve les données de sécurité à grande échelle, ce qui permet des analyses avancées sur plusieurs modalités et une détection des menaces basées sur l’intelligence artificielle. Il permet aux équipes de sécurité d’examiner les menaces à long terme, d’enrichir les alertes et de créer des bases de référence comportementales à l’aide de mois de données.

Lorsque la rétention totale est configurée pour être plus longue que la rétention du niveau Analytique, ou lorsque la période de rétention du niveau Analytique se termine, les données stockées au-delà de la conservation du niveau Analytique continuent d’être accessibles dans le niveau Data Lake.

Contenu connexe

  • Last updated on