Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les données que vous collectez dans Microsoft Sentinel (SIEM) et Microsoft Defender XDR sont stockées dans des tables. Le portail Microsoft Defender vous permet de gérer la période de rétention et les coûts de magasin associés à vos données. Vous pouvez gérer la rétention et les coûts lorsque vous :
- Configurez les connecteurs de données pour envoyer des données à Microsoft Sentinel ou à Microsoft Defender XDR.
- Gérez vos tables et données existantes.
Cet article explique comment gérer les options de rétention et de niveau des tables dans le portail Microsoft Defender pour optimiser les opérations de sécurité et réduire les coûts dans Microsoft Sentinel et Microsoft Defender XDR.
Quelles tables pouvez-vous gérer dans le portail Defender ?
Cette section décrit les types de tables que vous pouvez gérer dans le portail Microsoft Defender.
| Type de table | Descriptif | Exemples | Se trouve-t-il dans l’espace de travail Microsoft Sentinel ? |
|---|---|---|---|
| Microsoft Sentinel | Tables intégrées, notamment : - Tables Azure, telles qu’AzureDiagnostics et SigninLogs. - Tables Microsoft Sentinel. - Intégration de Microsoft Defender XDR à Microsoft Sentinel, qui est créée dans votre espace de travail Microsoft Sentinel quand vous allongez la période de rétention des analyses au-delà de 30 jours. Consultez le type de table XDR pour les tables Defender XDR qui ne sont actuellement pas prises en charge. |
- Tables Azure : AzureDiagnostics, SigninLogs- Tables de Microsoft Sentinel : AWSCloudTrail, SecurityAlert- Tables XDR : DeviceEvents,AlertInfo |
Oui |
| Personnalisée | Les tables que vous créez manuellement ou par le biais de tâches dans votre espace de travail Microsoft Sentinel, y compris les tables de résultats des règles de synthèse et des tâches de recherche, ainsi que les tables de sources de données personnalisées. | Tables avec _CL ou _SRCH suffixes. |
Oui |
| XDR | Les tables du niveau par défaut XDR, qui ont 30 jours de rétention des données analytiques. Vous pouvez afficher ces tables, mais vous ne pouvez pas les gérer à partir du portail Defender. | IdentityInfo |
Non |
Remarque
Vous pouvez afficher les tables de journaux d’activité basiques dans votre espace de travail Microsoft Sentinel à partir du portail Defender, mais actuellement, vous pouvez uniquement les gérer à partir de votre espace de travail Log Analytics. Pour gérer ces tables à partir du portail Defender, modifiez le plan de table de base en analyse dans votre espace de travail Microsoft Sentinel.
Le fonctionnement des niveaux de classification des données et de la rétention des données
Vous pouvez conserver des données dans Microsoft Sentinel dans l’un des deux niveaux suivants :
Niveau Analytique : ce niveau rend les données disponibles pour les alertes, la chasse, les classeurs et toutes les fonctionnalités de Microsoft Sentinel. Il conserve les données dans deux états :
- Rétention d'analyses : dans cet état « chaud », les données sont entièrement disponibles pour les analyses en temps réel, y compris les requêtes haute performance, les règles d'analyse et la recherche de menaces. Par défaut, Microsoft Sentinel et Microsoft Defender XDR conservent les données de ce niveau pendant 30 jours. Vous pouvez étendre la période de rétention de toutes les tables jusqu’à deux ans au prorata des frais de rétention mensuels à long terme. Vous pouvez étendre la période de rétention des tables de solutions Microsoft Sentinel à 90 jours gratuitement.
- Rétention totale : par défaut, toutes les données du niveau Analytique sont mises en miroir dans le lac de données pour la même période de rétention. Vous pouvez étendre la rétention de vos données dans le lac au-delà de la rétention analytique, pendant jusqu’à 12 ans de rétention totale à faible coût.
Niveau Data Lake : dans ce niveau « froid » à faible coût, Microsoft Sentinel conserve vos données dans le lac uniquement. Les données du niveau Data Lake ne sont pas disponibles pour les fonctionnalités d’analytique en temps réel et la chasse aux menaces. Toutefois, vous pouvez accéder aux données dans le lac chaque fois que vous en avez besoin via des travaux KQL, analyser les tendances au fil du temps en exécutant des travaux KQL ou Spark planifiés, et agréger des insights à partir de données entrantes à une cadence régulière à l’aide de règles récapitulatives.
Données XDR : par défaut, les données de chasse aux menaces Microsoft Defender XDR sont toujours disponibles dans le niveau analytique pendant 30 jours. Les clients peuvent étendre la rétention de ces données au niveau analytique jusqu’à 90 jours, inclus dans la licence XDR pour aucun coût supplémentaire. Vous pouvez aussi ingérer exclusivement dans le niveau Data Lake, mais les données sont toujours disponibles dans le niveau Analytique pendant 30 jours dans cet état.
Pour plus d’informations sur les différences entre ces deux types de rétention, consultez Comparer les niveaux d’analytique et de lac de données.
Ce diagramme montre les composants de rétention des niveaux d’analyse, de lac de données et XDR par défaut, et quels types de tables s’appliquent à chaque niveau :
Pour plus d’informations sur le lac de données Microsoft Sentinel, consultez Présentation du lac de données Microsoft Sentinel.
Comparer les niveaux d'analyses de données et de lac de données
Ce tableau compare les deux niveaux d’analyse et de lac de données et leurs principales caractéristiques :
| Comparaison | Niveau d'analyse | Niveau de Data Lake |
|---|---|---|
| Caractéristiques clés | Interrogation et indexation de haut niveau de performance des journaux (également appelée rétention de niveau d’accès chaud ou interactive). | Rétention économique à long terme de volumes de données volumineux (également appelée stockage à froid). |
| Idéal pour | Règles d’analyse en temps réel, alertes, repérage, classeurs et toutes les fonctionnalités de Microsoft Sentinel. | - Journalisation réglementaire et conformité. - Analyse des tendances historiques et investigation. - Données à faible interaction tactile qui ne sont pas nécessaires pour les alertes en temps réel. |
| Coût d’ingestion | Norme | Minimales |
| Prix de requête inclus | ✅ | ❌ |
| Performances des requêtes optimisées | ✅ |
❌ Requêtes plus lentes. Bon pour l’audit. Non optimisé pour l’analyse en temps réel. |
| Interrogation des données par requête | Fonctionnalités de requête complètes dans les portails Microsoft Defender et Azure et à l’aide d’API. |
-
Fonctionnalités de requête complètes , notamment les unions et les jointures. - Exécuter des travaux KQL ou Spark planifiés. - Utiliser des blocs-notes. |
| Ensemble complet de fonctionnalités d’analytique en temps réel | ✅ | ❌ Limitations sur certaines fonctionnalités, notamment les règles d’analyse, les requêtes de repérage, les analyseurs, les watchlists, les classeurs et les playbooks. |
| Rechercher des travaux | ✅ | ✅ |
| Règles récapitulatives | ✅ | ✅ KQL complet sur une table unique, que vous pouvez étendre avec des données d’une table d’analyse à l’aide de la recherche |
| Restauration | ✅ | ❌ Les travaux KQL et Notebook peuvent promouvoir les données au niveau Analytique. |
| Exportation de données | ✅ | ❌ |
| Durée de conservation | 90 jours pour Microsoft Sentinel, 30 jours pour Microsoft Defender XDR. Peut être prolongés jusqu’à deux ans, au prorata des frais de conservation à long terme. |
Identique à la rétention des analyses, par défaut. Peut être prolongé jusqu’à 12 ans. |
Que se passe-t-il lorsque vous modifiez les paramètres de table
Vous pouvez modifier à tout moment les paramètres de niveau et de rétention d'une table.
Quand vous modifiez le niveau d’une table d’analytique à lac de données, toutes les requêtes d’analyse et de repérage en temps réel cessent de fonctionner.
Lorsque vous raccourcissez la rétention totale d’une table, Microsoft attend 30 jours avant de supprimer les données. Vous pouvez donc rétablir la modification et éviter la perte de données si vous avez effectué une erreur dans la configuration.
Lorsque vous augmentez la conservation totale, la nouvelle période de conservation s’applique à toutes les données déjà ingérées dans la table et qui n’ont pas encore été supprimées.
Lorsque vous modifiez les paramètres de rétention d’analyse d’une table avec des données existantes, la modification prend effet immédiatement.
Exemple :
- Vous avez une table au niveau analytique avec 180 jours de rétention des données analytiques. Par défaut, la rétention totale est également définie sur 180 jours.
- Vous modifiez la rétention des analyses à 90 jours sans modifier la période de rétention totale de 180 jours.
- Microsoft Sentinel supprime automatiquement les 90 derniers jours de rétention des données d’analytique, mais continue de stocker des données comprises entre 90 et 180 jours dans le lac de données.
Gérer les données XDR dans Microsoft Sentinel
Par défaut, Microsoft Defender XDR conserve les données de repérage des menaces dans le niveau XDR par défaut pendant 30 jours. Ces données ne sont pas intégrées par défaut dans les piliers d'analytique ou de lac de données. Si vous étendez la période de rétention des tables XDR prises en charge au-delà de 30 jours, les tables sont créées dans votre espace de travail Microsoft Sentinel dans le niveau Analytique et mises en miroir au niveau Data Lake.
Si vous activez le connecteur Microsoft Sentinel XDR dans le portail Azure, les tables que vous sélectionnez lors de l’installation sont automatiquement ingérées dans le niveau Analytique et mises en miroir au niveau Data Lake. La rétention par défaut est de 30 jours et vous pouvez l’étendre jusqu’à 12 ans. Pour obtenir la liste des tables, consultez l’intégration de Microsoft Defender XDR à Microsoft Sentinel. Vous pouvez ingérer les tables XDR prises en charge que vous n’avez pas sélectionnées pendant le déploiement du connecteur dans le niveau Analytique et les mettre en miroir dans le niveau Data Lake en définissant la rétention sur plus de 30 jours.
Si vous n’activez pas le connecteur XDR de Microsoft Sentinel, les tables XDR ne sont pas ingérées automatiquement, mais vous pouvez néanmoins les ingérer en définissant la rétention pour plus de 30 jours sur le portail Defender au niveau analytique ou du lac de données.
Vous pouvez choisir d’ingérer des tables XDR prises en charge exclusivement dans le niveau Data Lake en sélectionnant l’option de niveau Data Lake lors de la configuration des paramètres de rétention. Pour plus d’informations, consultez Configurer la rétention et la hiérarchisation des données.
Arrêtez l’ingestion de données dans le niveau Analytique en réinitialisant la rétention du niveau Analytique et la rétention totale à la valeur par défaut de 30 jours. Cette action désactive le connecteur dans le portail Azure.
Pour plus d’informations sur la gestion de vos tables et données, consultez Gérer vos tables et données existantes.
Conservation et coûts des données XDR
Les tableaux suivants résument les périodes de rétention gratuites et les implications des coûts pour les différents niveaux de Microsoft Sentinel :
| Niveau | Retention | Remarques |
|---|---|---|
| Recherche avancée (par défaut) | 30 jours | Valeur par défaut, incluse dans la licence XDR |
| Niveau d'analyse | 90 jours | Stockage gratuit pour les espaces de travail avec Sentinel. Les frais d’ingestion s’appliquent. |
| Lac de données | Paramétrable. Par défaut, identique au niveau Analytique. | Stockage gratuit lorsque la rétention totale est identique à la rétention du niveau Analytique. La conservation des données dans le lac de données au-delà de la période de rétention du niveau Analytique, ou exclusivement dans le niveau Data Lake, entraîne des coûts de stockage supplémentaires. |
Pour plus d’informations sur la facturation et les coûts, consultez Comprendre le modèle de facturation complet pour Microsoft Sentinel
Dans les exemples suivants, les données XDR sont disponibles par le biais d’une chasse avancée pendant au moins 30 jours, quels que soient les paramètres de rétention dans les niveaux d’analytique ou de lac de données.
| Rétention des paliers d'analyse de données | Rétention totale | Coûts d’ingestion du niveau Analytics | Coûts de stockage du niveau d'analyse | Coûts du niveau Data Lake |
|---|---|---|---|---|
| Valeur par défaut de 30 jours | Valeur par défaut de 30 jours | Aucun coût supplémentaire | N/A | N/A |
| 90 jours | 90 jours | Les coûts s’appliquent à l’ingestion de niveau Analytique. | Aucun coût supplémentaire. 90 jours inclus gratuitement. | Aucun coût supplémentaire. La rétention totale correspond à la rétention du niveau Analytique. |
| 90 jours | 180 jours | Les coûts s’appliquent à l’ingestion de niveau Analytique. | Aucun coût supplémentaire ; 90 jours inclus gratuitement. | Les coûts s’appliquent pendant 90 jours de rétention de lac de données supplémentaires (180 à 90 jours). |
| 180 jours | 1 an | Les coûts s’appliquent à l’ingestion de niveau Analytique. | Les coûts s’appliquent pendant 90 jours de rétention de niveau Analytique supplémentaire. | Des coûts s'appliquent pour 185 jours de rétention supplémentaire du lac de données (365 jours - 180 jours). |
| 0 jours (data lake uniquement) | 5 ans | N/A | N/A | Les coûts s’appliquent à l’ingestion et pendant 5 ans de conservation du lac de données. |
Étapes suivantes
Pour en savoir plus :