Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les données que vous collectez dans Microsoft Sentinel (SIEM) et Microsoft Defender XDR sont stockées dans des tables. Le portail Microsoft Defender vous permet de gérer la période de rétention et les coûts de stockage associés à vos données. Vous pouvez gérer la rétention et les coûts dans les cas suivants :
- Configurez des connecteurs de données pour envoyer des données à Microsoft Sentinel ou Microsoft Defender XDR.
- Gérez vos tables et données existantes.
Cet article explique comment gérer la rétention des tables et les options de niveau dans le portail Microsoft Defender pour optimiser les opérations de sécurité et réduire les coûts en Microsoft Sentinel et Microsoft Defender XDR.
Quelles tables pouvez-vous gérer dans le portail Defender ?
Cette section décrit les types de tables que vous pouvez gérer dans le portail Microsoft Defender.
| Type de table | Description | Exemples | Se trouve-t-il dans Microsoft Sentinel espace de travail ? |
|---|---|---|---|
| Microsoft Sentinel | Tables intégrées, notamment : - Azure tables, telles qu’AzureDiagnostics et SigninLogs. - Microsoft Sentinel tables. - Microsoft Defender XDR intégration à Microsoft Sentinel, qui sont créées dans votre espace de travail Microsoft Sentinel lorsque vous augmentez la période de rétention des analyses au-delà de 30 jours. Consultez le type de table XDR pour Defender XDR tables qui ne sont actuellement pas prises en charge. |
- Azure tables : AzureDiagnostics,SigninLogs- Microsoft Sentinel tables : AWSCloudTrail,SecurityAlert- Tables XDR : DeviceEvents,AlertInfo |
Oui |
| Personnalisé | Tables que vous créez manuellement ou par le biais de travaux dans votre espace de travail Microsoft Sentinel, y compris les tables de résultats des tâches de recherche et de règle récapitulative, ainsi que les tables de source de données personnalisées. | Tables avec _CL suffixes ou _SRCH . |
Oui |
| XDR | Les tables du niveau par défaut XDR, qui ont 30 jours de rétention analytique par défaut. Vous pouvez afficher ces tables, mais vous ne pouvez pas les gérer à partir du portail Defender. | IdentityInfo |
Non |
Remarque
Vous pouvez afficher les tables de journaux de base dans votre espace de travail Microsoft Sentinel à partir du portail Defender, mais vous ne pouvez les gérer actuellement qu’à partir de votre espace de travail Log Analytics. Pour gérer ces tables à partir du portail Defender, modifiez le plan de table de base à analytique dans votre espace de travail Microsoft Sentinel.
Fonctionnement des niveaux de données et de la rétention
Vous pouvez conserver les données dans Microsoft Sentinel dans l’un des deux niveaux suivants :
Niveau Analytique : ce niveau rend les données disponibles pour les alertes, la chasse, les classeurs et toutes les fonctionnalités Microsoft Sentinel. Il conserve les données dans deux états :
- Rétention des analyses : dans cet état « chaud », les données sont entièrement disponibles pour l’analytique en temps réel, y compris les requêtes et les règles d’analyse hautes performances, ainsi que pour la chasse aux menaces. Par défaut, Microsoft Sentinel et Microsoft Defender XDR conserver les données dans ce niveau pendant 30 jours. Vous pouvez étendre la période de rétention de toutes les tables à un maximum de deux ans avec des frais de rétention à long terme mensuels calculés au prorata. Vous pouvez étendre gratuitement la période de rétention de Microsoft Sentinel tables de solutions à 90 jours.
- Rétention totale : par défaut, toutes les données du niveau analytique sont mises en miroir dans le lac de données pendant la même période de rétention. Vous pouvez étendre la conservation de vos données dans le lac au-delà de la rétention analytique, jusqu’à 12 ans de rétention totale à faible coût.
Niveau du lac de données : dans ce niveau « froid » à faible coût, Microsoft Sentinel conserve vos données uniquement dans le lac. Les données du niveau Data Lake ne sont pas disponibles pour les fonctionnalités d’analyse en temps réel et la chasse aux menaces. Toutefois, vous pouvez accéder aux données du lac chaque fois que vous en avez besoin via des travaux KQL, analyser les tendances au fil du temps en exécutant des travaux KQL ou Spark planifiés, et agréger des insights à partir des données entrantes à une cadence régulière à l’aide de règles récapitulatives.
Données XDR : par défaut, Microsoft Defender XDR données de repérage des menaces sont toujours disponibles dans le niveau analytique pendant 30 jours. Vous pouvez étendre la conservation de ces données dans le niveau analytique jusqu’à 90 jours, ce qui entraînerait des coûts d’ingestion, mais le stockage est gratuit. S’étendre au-delà de 90 jours dans l’analytique entraîne également des coûts de stockage. Vous pouvez également ingérer exclusivement dans le niveau data lake, mais les données sont toujours disponibles dans le niveau Analytique pendant 30 jours. L’ingestion de données XDR directement dans le niveau data lake est plus rentable, mais implique des coûts d’ingestion, de stockage et de traitement. Dans cette option, les clients obtiennent toujours 30 jours de données dans le niveau Analytique sans coût supplémentaire.
Pour plus d’informations sur les différences entre ces deux types de rétention, consultez Comparer les niveaux d’analytique et de lac de données.
Ce diagramme montre les composants de rétention des niveaux d’analytique, de lac de données et de XDR par défaut, et les types de tables qui s’appliquent à chaque niveau :
Pour plus d’informations sur le lac de données Microsoft Sentinel, consultez Qu’est-ce que Microsoft Sentinel lac de données ?
Comparer les niveaux d’analytique et de lac de données
Ce tableau compare les deux niveaux d’analytique et de lac de données et leurs caractéristiques clés :
| Comparaison | Niveau Analytique | Niveau du lac de données |
|---|---|---|
| Principales caractéristiques | Interrogation et indexation hautes performances pour les journaux (également appelée rétention à chaud ou interactive). | Conservation économique à long terme de grands volumes de données (également appelée stockage à froid). |
| Idéal pour | Règles d’analyse en temps réel, alertes, chasse, classeurs et toutes les fonctionnalités Microsoft Sentinel. | - Journalisation de conformité et réglementaire. - Analyse des tendances historiques et investigation. - Données à faible interaction qui ne sont pas nécessaires pour les alertes en temps réel. |
| Coût d’ingestion | Standard | Minimales |
| Prix de la requête inclus | ✅ | ❌ |
| Optimisation des performances des requêtes | ✅ |
❌ Requêtes plus lentes. Bon pour l’audit. Non optimisé pour l’analyse en temps réel. |
| Fonctionnalités de requête | Fonctionnalités de requête complètes dans les portails Microsoft Defender et Azure et à l’aide d’API. |
-
Fonctionnalités de requête complètes , y compris les unions et les jointures. - Exécuter des travaux KQL ou Spark planifiés. - Utiliser des notebooks. |
| Ensemble complet de fonctionnalités d’analyse en temps réel | ✅ | ❌ Limitations de certaines fonctionnalités, notamment les règles d’analyse, les requêtes de chasse, les analyseurs, les watchlists, les classeurs et les playbooks. |
| Rechercher des travaux | ✅ | ✅ |
| Règles récapitulatives | ✅ | ✅ KQL complet sur une table unique, que vous pouvez étendre avec les données d’une table d’analyse à l’aide de la recherche |
| Restaurer | ✅ | ❌ Les travaux KQL et Notebook peuvent promouvoir les données au niveau analytique. |
| Exportation de données | ✅ | ❌ |
| Période de rétention | 90 jours pour Microsoft Sentinel, 30 jours pour Microsoft Defender XDR. Peut être prolongé jusqu’à deux ans avec des frais de rétention mensuels à long terme calculés au prorata. |
Identique à la rétention analytique, par défaut. Peut être prolongé jusqu’à 12 ans. |
Que se passe-t-il lorsque vous modifiez les paramètres de la table
Vous pouvez changer le niveau et les paramètres de rétention d’une table à tout moment.
Lorsque vous modifiez le niveau par défaut xdr d’une table de l’analytique au lac de données, toutes les requêtes d’analyse et de chasse en temps réel cessent de fonctionner.
Lorsque vous raccourcissez la rétention totale d’une table, Microsoft attend 30 jours avant de supprimer les données. Vous pouvez donc annuler la modification et éviter toute perte de données si vous avez fait une erreur dans la configuration.
Lorsque vous augmentez la rétention totale, la nouvelle période de rétention s’applique à toutes les données qui ont déjà été ingérées dans la table et qui n’ont pas encore été supprimées.
Lorsque vous modifiez les paramètres de rétention analytique d’une table avec des données existantes, la modification prend effet immédiatement.
Exemple :
- Vous avez une table dans le niveau analytique avec 180 jours de rétention des analyses. Par défaut, la rétention totale est également définie sur 180 jours.
- Vous définissez la rétention analytique sur 90 jours sans modifier la période de rétention totale de 180 jours.
- Microsoft Sentinel supprime automatiquement les 90 derniers jours de la conservation des données analytiques, mais continue de stocker des données comprises entre 90 et 180 jours dans le lac de données.
Gérer les données XDR dans Microsoft Sentinel
Par défaut, Microsoft Defender XDR conserve les données de chasse aux menaces dans le niveau XDR par défaut pendant 30 jours. Ces données ne sont pas ingérées dans les niveaux d’analytique ou de lac de données par défaut. Si vous étendez la période de rétention des tables XDR prises en charge au-delà de 30 et jusqu’à 90 jours, Sentinel coûts d’ingestion s’appliquent, mais il n’y a aucun coût de stockage supplémentaire. Les tables sont créées dans votre espace de travail Microsoft Sentinel dans le niveau analytique et mises en miroir sur le niveau du lac de données.
Si vous activez le connecteur XDR Microsoft Sentinel dans le Portail Azure, les tables que vous sélectionnez lors de l’installation sont automatiquement ingérées dans le niveau Analytique et mises en miroir au niveau du lac de données. La rétention par défaut est de 30 jours et vous pouvez la prolonger jusqu’à 12 ans. Pour obtenir la liste des tables, consultez intégration Microsoft Defender XDR avec Microsoft Sentinel. Vous pouvez ingérer des tables XDR prises en charge que vous n’avez pas sélectionnées pendant le déploiement du connecteur dans le niveau analytique et les miroir au niveau du lac de données en définissant la rétention sur plus de 30 jours.
Si vous n’activez pas le connecteur XDR Microsoft Sentinel, les tables XDR ne sont pas ingérées automatiquement, mais vous pouvez toujours les ingérer en définissant l’analytique ou la conservation du niveau de lac de données pendant plus de 30 jours dans le portail Defender.
Vous pouvez choisir d’ingérer des tables XDR prises en charge exclusivement dans le niveau data lake en sélectionnant l’option Niveau data lake lors de la configuration des paramètres de rétention. Pour plus d’informations, consultez Configurer la conservation et la hiérarchisation des données.
Arrêtez l’ingestion de données dans le niveau analytique en réinitialisant la rétention du niveau Analytique et la rétention totale aux 30 jours par défaut. Cette action désactive le connecteur dans le Portail Azure.
Pour plus d’informations sur la gestion de vos tables et données, consultez Gérer vos tables et données existantes.
Conservation et coûts des données XDR
Les tableaux suivants résument les périodes de rétention gratuites et les implications en termes de coûts pour les différents niveaux dans Microsoft Sentinel :
| Niveau | Rétention | Notes |
|---|---|---|
| Repérage avancé (par défaut) | 30 jours | Par défaut, inclus dans la licence XDR |
| Niveau Analytique | 31-90 jours | Stockage gratuit pour les espaces de travail Sentinel. Les données sont mises en miroir dans le lac de données. Sentinel frais d’ingestion s’appliquent. |
| Lac de données | Configurable. Par défaut, identique au niveau analytique. | Stockage gratuit lorsque la rétention totale est identique à la rétention du niveau analytique. La conservation des données dans le lac de données au-delà de la période de rétention du niveau Analytique entraîne des coûts de stockage de lac de données. L’ingestion de données directement au niveau du lac de données entraîne des coûts d’ingestion, de stockage et de traitement. |
Pour plus d’informations sur la facturation et les coûts, consultez Comprendre le modèle de facturation complet pour Microsoft Sentinel
Dans les exemples suivants, les données XDR sont disponibles via la chasse avancée pendant au moins 30 jours, quels que soient les paramètres de rétention dans les niveaux d’analytique ou de lac de données.
| Rétention du niveau Analytique | Rétention totale | Coûts d’ingestion du niveau Analytique | Coûts de stockage du niveau Analytique | Coûts du niveau de lac de données |
|---|---|---|---|---|
| 30 jours par défaut | 30 jours par défaut | Aucun coût supplémentaire | S/O | S/O |
| 90 jours | 90 jours | Les coûts s’appliquent à l’ingestion du niveau analytique. | Aucun coût supplémentaire. 90 jours inclus gratuit. | Aucun coût supplémentaire. La rétention totale correspond à la rétention du niveau Analytique. |
| 90 jours | 180 jours | Les coûts s’appliquent à l’ingestion du niveau analytique. | Aucun coût supplémentaire ; 90 jours inclus gratuit. | Les coûts s’appliquent pour 90 jours de rétention supplémentaire du lac de données (180 à 90 jours). |
| 180 jours | 1 an | Les coûts s’appliquent à l’ingestion du niveau analytique. | Les coûts s’appliquent pour 90 jours de rétention de niveau analytique supplémentaire. | Les coûts s’appliquent pour 185 jours de rétention supplémentaire du lac de données (365 à 180 jours). |
| 0 jour (lac de données uniquement) | 5 ans | S/O | S/O | Les coûts s’appliquent pour l’ingestion et pour 5 ans de rétention de lac de données. |
Étapes suivantes
Pour en savoir plus, consultez les liens suivants :