Configurer les journaux

  • 3 minutes

Configurer les journaux dans les espaces de travail Microsoft Sentinel

Lors de la configuration de vos espaces de travail Microsoft Sentinel, vous devez planifier les deux états de données, les trois plans de table et les deux niveaux de journal principal.

Les deux états de données sont les suivants :

  • Rétention des données analytiques : pour la surveillance, la résolution des problèmes et l'analyse en quasi-temps réel
  • Rétention à long terme : état à faible coût, non disponible dans tous les plans de table, mais accessible via des travaux de recherche et des restaurations

Diagramme de l’analytique et de la rétention à long terme dans les journaux Azure Monitor.

Les plans de table dans un espace de travail Log Analytics déterminent les fonctionnalités disponibles pour chaque table et le coût du stockage des données dans cette table. Vous pouvez configurer différentes tables dans un espace de travail pour utiliser différents plans.

Il existe trois plans dans un espace de travail Log Analytics :

  • Le plan Analytics est adapté à la surveillance continue, à la détection en temps réel et à l’analytique des performances. Ce plan rend les données de journal disponibles pour les requêtes multi-tables interactives et l’utilisation par des fonctionnalités et des services pendant 30 jours à deux ans.
  • Le plan de base est adapté à la résolution des problèmes et à la réponse aux incidents. Ce plan propose une réduction sur l’ingestion des données et des requêtes optimisées pour une table unique pendant 30 jours.
  • Le plan Auxiliaire est adapté aux données à faible interaction, telles que les journaux détaillés et les données nécessaires à l’audit et la conformité. Ce plan offre une ingestion économique et des requêtes à table unique non optimisées pendant 30 jours.

Diagramme des différents types de niveaux d’espace de travail.

Plans de rétention des journaux dans Microsoft Sentinel

Pour les espaces de travail Microsoft Sentinel connectés à Defender, la gestion de la hiérarchisation et de la rétention doit être effectuée à partir de la nouvelle expérience de gestion des tables dans le portail Defender. Si vous avez des journaux de base dans votre espace de travail, convertissez-les en niveau analytique d’abord à partir de l'expérience des tables Log Analytics avant de pouvoir modifier la hiérarchisation ou la rétention à partir de la nouvelle expérience de gestion des tables de Microsoft Defender.

Important

Nous vous recommandons d’envisager microsoft Sentinel Data Lake comme solution préférée pour stocker des données secondaires et à long terme. Le lac de données Microsoft Sentinel est conçu pour offrir une scalabilité, une flexibilité et des fonctionnalités d’intégration améliorées pour des scénarios de sécurité et de conformité avancés. Microsoft Sentinel Data Lake est actuellement en préversion publique et n’est pas encore disponible en disponibilité générale. Nous conseillons aux utilisateurs de surveiller les mises à jour et les annonces concernant son état de disponibilité.

Gérer les niveaux de données dans Microsoft Sentinel

Il existe deux niveaux principaux dans Microsoft Sentinel et un niveau XDR par défaut :

  • Niveau Analytique
  • Niveau du Lac de Données
  • Niveau XDR par défaut

Niveau d'analyse

Ce niveau rend les données disponibles pour les alertes, la chasse, les classeurs et toutes les fonctionnalités de Microsoft Sentinel. Il conserve les données dans deux états :

  • Rétention d'analyses : dans cet état « chaud », les données sont entièrement disponibles pour les analyses en temps réel, y compris les requêtes haute performance, les règles d'analyse et la recherche de menaces. Par défaut, Microsoft Sentinel et Microsoft Defender XDR conservent les données de ce niveau pendant 30 jours. Vous pouvez étendre la période de rétention de toutes les tables jusqu’à deux ans au prorata des frais de rétention mensuels à long terme. Vous pouvez étendre la période de rétention des tables de solutions Microsoft Sentinel à 90 jours gratuitement.
  • Rétention totale : par défaut, toutes les données du niveau Analytique sont mises en miroir dans le lac de données pour la même période de rétention. Vous pouvez étendre la rétention de vos données dans le lac au-delà de la rétention analytique, pendant jusqu’à 12 ans de rétention totale à faible coût.

Niveau de Data Lake

Dans ce niveau « froid » à faible coût, Microsoft Sentinel conserve vos données dans le lac uniquement. Les données du niveau Data Lake ne sont pas disponibles pour les fonctionnalités d’analytique en temps réel et la chasse aux menaces. Toutefois, vous pouvez accéder aux données dans le lac chaque fois que vous en avez besoin via des travaux KQL, analyser les tendances au fil du temps en exécutant des travaux KQL ou Spark planifiés, et agréger des insights à partir de données entrantes à une cadence régulière à l’aide de règles de synthèse

Niveau XDR par défaut

Par défaut, Microsoft Defender XDR conserve les données de recherche de menaces dans le niveau XDR par défaut, qui comprend 30 jours de rétention des données analytiques, inclus dans la licence XDR. Ces données ne sont pas intégrées dans les niveaux d’analyse de données ou de lac de données. Vous pouvez étendre la période de rétention des tables XDR Defender prises en charge au-delà de 30 jours et ingérer les données dans le niveau Analytique.

Ce diagramme montre les composants de rétention des niveaux d’analyse, de lac de données et XDR par défaut, et quels types de tables s’appliquent à chaque niveau :

Diagramme illustrant les niveaux d’analytique et de lac de données dans le portail Microsoft Defender.

Quelles tables pouvez-vous gérer dans le portail Defender ?

Cette section décrit les types de tables que vous pouvez gérer dans le portail Defender.

Capture d’écran montrant l’écran Gestion des tables dans le portail Defender.

Type de table Descriptif Examples Se trouve-t-il dans l’espace de travail Microsoft Sentinel ?
Microsoft Sentinel Tables intégrées, notamment les tables Azure, telles qu’AzureDiagnostics et SigninLogs. Tables de Microsoft Sentinel. Tables de repérage avancé Defender XDR compatibles, qui sont créées dans votre espace de travail Microsoft Sentinel lorsque vous augmentez la période de rétention au-delà de 30 jours. Consultez le type de table XDR pour les tables Defender XDR qui ne sont actuellement pas prises en charge. – Tables Azure : AzureDiagnostics, SigninLogs– Tables Microsoft Sentinel : AWSCloudTrail, SecurityAlert– Tables XDR : DeviceEvents,AlertInfo Oui
Personnalisée Les tables que vous créez manuellement ou par le biais de tâches dans votre espace de travail Microsoft Sentinel, y compris les tables de résultats des règles de synthèse et des tâches de recherche, ainsi que les tables de sources de données personnalisées. Tables avec _CL ou _SRCH suffixes. Oui
XDR Les tables du niveau par défaut XDR, qui ont 30 jours de rétention des données analytiques. Vous pouvez afficher ces tables, mais vous ne pouvez pas les gérer à partir du portail Defender. IdentityInfo Non

Note

Vous pouvez afficher les tables de journaux d’activité basiques dans votre espace de travail Microsoft Sentinel à partir du portail Defender, mais actuellement, vous pouvez uniquement les gérer à partir de votre espace de travail Log Analytics. Pour gérer ces tables à partir du portail Defender, modifiez le plan de table de base en analyse dans votre espace de travail Microsoft Sentinel.

Gérer les paramètres de table

Pour afficher et gérer les paramètres de table dans le portail Microsoft Defender :

  1. Sélectionnez Microsoft Sentinel>Tables de Configuration> dans le volet de navigation gauche.

    L’écran Tableau répertorie toutes les tables que vous pouvez gérer dans le portail Microsoft Defender et les paramètres de chaque table.

    Capture d’écran montrant l’écran Tables dans le portail Defender.

    La colonne de l’espace de travail affiche l’espace de travail Microsoft Sentinel dans lequel une table Microsoft Sentinel ou personnalisée est stockée.

  2. Pour gérer Microsoft Sentinel et les tables personnalisées dans un autre espace de travail Microsoft Sentinel, sélectionnez le nom de l’espace de travail en haut à gauche de l’écran pour basculer entre les espaces de travail.

  3. Sélectionnez un tableau dans l’écran Tables .

    Cela ouvre le panneau latéral des détails du tableau, avec plus d’informations sur la table, y compris sa description, son niveau de service, et ses détails de conservation.

    Capture d’écran du panneau latéral des détails de la table CommonSecurityLog sur l’écran Gestion des tables dans le portail Defender.

  4. Sélectionnez Gérer la table.

    L’écran Gérer le tableau vous permet de modifier les paramètres de rétention de la table dans le niveau actuel et de modifier le niveau de stockage, si nécessaire.

    Capture d’écran montrant l’écran Gérer le tableau pour la table CommonSecurityLog dans le portail Defender.

    • Paramètres de rétention du niveau analytique :

      • Rétention d’analyse : 30 jours à deux ans.

      • Rétention totale : jusqu’à 12 ans de stockage à long terme dans le lac de données. Par défaut, la rétention totale est égale à la rétention analytique, ce qui signifie que la rétention à long terme n’est pas appliquée. Pour activer la rétention à long terme, définissez la rétention totale sur une valeur supérieure à la rétention analytique.

        Exemple : Pour conserver six mois de données dans le total de rétention à long terme et 90 jours de rétention des données dans l’analytique, définissez la rétention d’Analytics sur 90 jours et la rétention totale sur 180 jours.

    • Paramètres de rétention de niveau Data Lake : définissez la rétention sur une valeur comprise entre 30 jours et 12 ans.

    • Modifications de niveau : si nécessaire, vous pouvez modifier des niveaux à tout moment en fonction de vos besoins en matière de gestion des coûts et d’utilisation des données.

      Note

      Les modifications de niveau ne sont pas disponibles pour toutes les tables. Par exemple, les tables de solution XDR et Microsoft Sentinel doivent être disponibles dans le niveau analytique, car les services de sécurité Microsoft nécessitent les données de ces tables pour l’analytique en temps quasi réel.

  5. Passez en revue les avertissements et les messages. Ces messages vous aident à comprendre les implications importantes de la modification des paramètres de table.

    Par exemple:

    • Une rétention accrue est susceptible d’entraîner une augmentation du coût des données.
    • Le passage de l’analytique au niveau Data Lake entraîne l’arrêt du fonctionnement des fonctionnalités qui s’appuient sur des données d’analyse, telles que :
      • Génération d’alertes
      • Chasse avancée
      • Règles analytiques
      • Règles de détection personnalisées

  6. Sélectionnez Enregistrer pour appliquer les nouveaux paramètres.

Support des tables pour les limites de langage des journaux de base et KQL

Toutes les tables de votre Log Analytics sont des tables Analytics, par défaut. Vous pouvez configurer des tables particulières pour utiliser les Basic Logs. Vous ne pouvez pas configurer une table pour les journaux de base si Azure Monitor s’appuie sur cette table pour des fonctionnalités spécifiques.

Vous pouvez actuellement configurer les tableaux suivants pour les journaux de base :

  • Toutes les tables créées avec l'API des journaux personnalisés basés sur la règle de collecte de données (DCR).
  • ContainerLogV2, que Container Insights utilise et qui inclut des enregistrements de journal détaillés basés sur du texte.
  • AppTraces, qui contient des enregistrements de journal de forme libre pour les traces d’application dans Application Insights.

Les requêtes sur les journaux de base sont optimisées pour une récupération de données simple à l’aide d’un sous-ensemble de langage KQL, y compris les opérateurs suivants :

  • étendre
  • projet
  • project-away
  • project-keep
  • Renommer projet
  • project-reorder
  • analyser
  • parse-where

Le langage KQL suivant n’est pas pris en charge :

  • joindre
  • union
  • agrégats (résumé)