Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Pour les espaces de travail Microsoft Sentinel connectés à Defender, la gestion de la hiérarchisation et de la rétention doit être effectuée à partir de la nouvelle expérience de gestion des tables dans le portail Defender. Pour les espaces de travail Microsoft Sentinel non attachés, continuez à utiliser les expériences décrites ci-dessous pour gérer les données dans vos espaces de travail.
Deux aspects antagonistes de la collecte et de la rétention des journaux sont critiques pour la réussite d’un programme de détection des menaces. D’un côté, vous voulez optimiser le nombre de sources des journaux que vous collectez, afin de disposer de la couverture de sécurité la plus complète possible. De l’autre, vous devez réduire les coûts induits par l’ingestion de toutes ces données.
Ces besoins antagonistes nécessitent une stratégie de gestion des journaux qui réalise un équilibre entre l’accessibilité des données, les performances des requêtes et les coûts de stockage.
Cet article décrit les catégories de données et les états de rétention utilisés pour stocker et accéder à vos données. Il décrit également les niveaux de journaux offerts par Microsoft Sentinel pour créer une stratégie de gestion et de rétention des journaux.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.
Catégories de données ingérées
Microsoft recommande de classifier les données ingérées dans Microsoft Sentinel en deux catégories générales :
Données de sécurité principales correspond aux données dont les valeurs sont critiques pour la sécurité. Ces données sont utilisées pour la surveillance proactive en temps réel, les alertes planifiées et l’analyse pour détecter les menaces de sécurité. Les données doivent être disponibles immédiatement pour toutes les expériences Microsoft Sentinel en quasi-temps réel.
Données de sécurité secondaires correspond aux données supplémentaires, souvent dans des journaux détaillés volumineux. Ces données ont une valeur limitée pour la sécurité, mais elles peuvent fournir des détails et un contexte supplémentaires pour les détections et les investigations, ce qui permet d’obtenir l’image complète d’un incident de sécurité. Il n’est pas nécessaire qu’elles soit disponibles immédiatement, mais elles doivent être accessibles à la demande, selon les besoins et dans les quantités appropriées.
Données de sécurité principales
Cette catégorie se compose de journaux qui contiennent des valeurs critiques pour la sécurité de votre organisation. Les cas d’usage des données de sécurité principales pour les opérations de sécurité sont les suivants :
Surveillance fréquente. . Des règles (d’analyse) de détection des menaces sont exécutées sur ces données à intervalles fréquents ou en quasi-temps réel.
Repérage à la demande. Des requêtes complexes sont exécutées sur ces données pour effectuer un repérage interactif à hautes performances des menaces de sécurité.
Corrélation. Les données de ces sources sont corrélées avec les données d’autres sources de données de sécurité principales pour détecter les menaces et créer des scénarios d’attaque.
Rapports réguliers. Les données provenant de ces sources sont disponibles immédiatement pour compilation dans des rapports réguliers de l’intégrité de la sécurité de l’organisation, à la fois pour les décideurs en matière de sécurité et les décideurs pour les questions générales.
Analyse du comportement. Les données provenant de ces sources sont utilisées pour créer des profils de comportement de base de référence pour vos utilisateurs et vos appareils, ce qui vous permet d’identifier les comportements hors norme comme suspects.
Voici quelques exemples de sources de données principales :
- Journaux provenant d'antivirus ou de systèmes de détection et de réponse d'entreprise (EDR)
- Journaux d’authentification
- Pistes d’audit à partir de plateformes cloud
- Flux de renseignement sur les menaces
- Alertes provenant de systèmes externes
Les journaux contenant des données de sécurité primaires doivent être stockés à l’aide du niveau d’analyse.
Données de sécurité secondaires
Cette catégorie englobe les journaux dont la valeur individuelle pour la sécurité est limitée, mais qui sont essentiels pour fournir une vue complète d’un incident ou d’une violation de sécurité. En règle générale, ces journaux sont volumineux et peuvent contenir beaucoup de détails. Les cas d’usage des opérations de sécurité pour ces données sont les suivants :
Veille des menaces. Les données principales peuvent faite l’objet de vérifications relativement à des listes d’indicateurs de compromission (IoC) ou d’indicateurs d’attaque (IoA) pour détecter rapidement et facilement les menaces.
Repérage/investigations ad hoc. Les données peuvent être interrogées de façon interactive pendant 30 jours, ce qui facilite l’analyse cruciale pour le repérage et l’investigation des menaces.
Recherches à grande échelle. Les données peuvent être ingérées et faire l’objet de recherches en arrière-plan à l’échelle du pétaoctet, tout en étant stockées efficacement avec un traitement minimal.
Résumé par le biais de travaux KQL. Résumez les journaux à volume élevé en informations agrégées et stockez les résultats dans le niveau Analytique.
Les journaux d’accès au stockage cloud, les journaux NetFlow, les journaux de certificats TLS/SSL, les journaux de pare-feu, les journaux de proxy et les journaux IoT sont des exemples de sources de journaux de données secondaires.
Pour les journaux contenant des données de sécurité secondaires, utilisez le lac de données Microsoft Sentinel, conçu pour offrir une scalabilité, une flexibilité et des fonctionnalités d’intégration améliorées pour les scénarios de sécurité et de conformité avancés.
Niveaux de gestion des journaux
Microsoft Sentinel fournit deux niveaux ou types de stockage des journaux différents pour prendre en charge ces catégories de données ingérées.
Le plan de niveau Analytique est conçu pour stocker les données de sécurité principales et les rendre facilement et constamment accessibles à des performances élevées.
Le niveau Data Lake est optimisé pour stocker les données de sécurité secondaires de manière rentable sur des périodes prolongées, tout en conservant l’accessibilité.
Niveau d'analyse
Le niveau d’analytique conserve les données dans l’état de rétention interactif pendant 90 jours par défaut, extensible pendant jusqu’à deux ans. Cet état interactif, bien que coûteux, vous permet d’interroger vos données de façon illimitée, avec des performances élevées, sans coûts par requête.
Niveau de Data Lake
Le lac de données Microsoft Sentinel est un lac de données moderne entièrement géré qui unifie et conserve les données de sécurité à grande échelle, ce qui permet une analyse avancée sur plusieurs modalités et une détection des menaces pilotée par l'IA. Il permet aux équipes de sécurité d’examiner les menaces à long terme, d’enrichir les alertes et de créer des bases de référence comportementales à l’aide de mois de données.
Lorsque la rétention totale est configurée pour être plus longue que la rétention du niveau Analytique ou lorsque la période de rétention du niveau Analytique se termine, les données stockées au-delà de la rétention du niveau Analytique continuent d’être accessibles dans le niveau Data Lake.
Contenu connexe
- Pour en savoir plus sur le lac de données Microsoft Sentinel, consultez Le lac de données Microsoft Sentinel.
- Pour connecter au lac de données Microsoft Sentinel, consultez Intégrer des données au lac de données Microsoft Sentinel.