Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender pour IoT stocke les données dans le Portail Azure Microsoft, dans les capteurs réseau OT.
Chaque type de stockage a des options de capacité de stockage et des durées de rétention variables. Cet article décrit la stratégie de conservation des données pour la quantité de données et la durée pendant laquelle les données sont stockées dans chaque type de stockage avant d’être supprimées ou remplacées.
Qu’est-ce qu’on collecte ?
Defender pour IoT collecte des informations à partir de vos appareils configurés et les stocke dans un locataire spécifique au service, dédié au client et séparé. Les données stockées sont destinées à des fins d’administration, de suivi et de création de rapports.
Les informations collectées incluent les données de connexion réseau (adresses IP et ports) et les détails de l’appareil (identificateurs d’appareil, noms, versions du système d’exploitation, versions du microprogramme). Defender pour IoT stocke ces données en toute sécurité conformément aux pratiques de confidentialité de Microsoft et aux stratégies du Centre de gestion de la confidentialité Microsoft.
Ces données permettent à Defender pour IoT d’effectuer les opérations suivantes :
- Identifiez de manière proactive les indicateurs d’attaque dans votre organization.
- Générez des alertes si une attaque possible est détectée.
- Fournissez à votre équipe de sécurité une vue des appareils et des adresses liés aux signaux de menace provenant de votre réseau, ce qui vous permet d’examiner et d’explorer les menaces possibles pour la sécurité réseau.
Microsoft n’utilise pas vos données pour la publicité.
Emplacement des données
Defender pour IoT utilise les centres de données Microsoft Azure dans l’Union européenne et le États-Unis. Les données client collectées par le service peuvent être stockées dans l’un des deux emplacements géographiques suivants :
- Géolocalisation du locataire telle qu’identifiée lors de l’approvisionnement.
- Géolocalisation telle que définie par les règles de stockage des données d’un service en ligne, utilisée par Defender pour IoT pour traiter ses données.
Rétention de données
Les données de Defender pour IoT sont conservées tant qu’un client est actif ou pendant 90 jours après la fin de votre contrat. Pendant cette période, les données sont visibles dans vos autres services sur le portail.
Vos données sont conservées et disponibles pendant que votre licence est en période de grâce ou en mode suspendu. 90 jours après la fin de cette période, vos données sont effacées des systèmes de Microsoft, ce qui les rend irrécupérables.
Périodes de conservation des données d’appareil
Le tableau suivant répertorie la durée de stockage des données d’appareil dans chaque type de stockage Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Portail Azure | 90 jours à compter de la date de la dernière valeur d’activité . Pour plus d’informations, consultez Gérer l’inventaire de votre appareil à partir de la Portail Azure. |
| Capteur réseau OT | 90 jours à compter de la date de la dernière valeur d’activité . Pour plus d’informations, consultez Gérer l’inventaire de votre appareil OT à partir d’une console de capteur. |
Rétention des données d’alerte
Le tableau suivant répertorie la durée de stockage des données d’alerte dans chaque type de stockage Defender pour IoT. Les données d’alerte sont stockées comme listées, quelle que soit la status de l’alerte, ou si elles ont été apprises ou muées.
| Type de stockage | Détails |
|---|---|
| Portail Azure | 90 jours à partir de la date dans la valeur De première détection . Pour plus d’informations, consultez Afficher et gérer les alertes à partir du Portail Azure. |
| Capteur réseau OT | 90 jours à partir de la date dans la valeur De première détection . Pour plus d’informations, consultez Afficher les alertes sur votre capteur. |
Conservation des données PCAP des alertes OT
Le tableau suivant répertorie la durée de stockage des données PCAP dans chaque type de stockage Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Portail Azure | Les fichiers PCAP peuvent être téléchargés à partir du Portail Azure tant que le capteur réseau OT les stocke. Une fois téléchargés, les fichiers sont mis en cache sur le Portail Azure pendant 48 heures. Pour plus d’informations, consultez Accéder aux données PCAP des alertes. |
| Capteur réseau OT | En fonction de la capacité de stockage du capteur allouée pour les fichiers PCAP, qui détermine son profil matériel : - C5600 : 130 Go - E1800 : 130 Go - E1000 : 78 Go - E500 : 78 Go - L500 : 7 Go - L100 : 2,5 Go Si un capteur dépasse sa capacité de stockage maximale, le fichier PCAP le plus ancien est supprimé pour prendre en charge le nouveau. Pour plus d’informations, consultez Données PCAP d’alerte d’accès et Appliances physiques préconfigurées pour la surveillance OT. |
L’utilisation de l’espace de stockage PCAP disponible dépend de facteurs tels que le nombre d’alertes, le type de l’alerte et la bande passante réseau, qui affectent tous la taille du fichier PCAP.
Conseil
Pour éviter de dépendre de la capacité de stockage du capteur, utilisez un stockage externe pour sauvegarder vos données PCAP.
Rétention des recommandations de sécurité
Les recommandations de sécurité de Defender pour IoT sont stockées uniquement sur le Portail Azure, pendant 90 jours à partir du moment où la recommandation est détectée pour la première fois.
Pour plus d’informations, consultez Améliorer la posture de sécurité avec des recommandations de sécurité.
Conservation des chronologie d’événements OT
Les données de chronologie d’événements OT sont stockées uniquement sur les capteurs réseau OT, et la capacité de stockage varie en fonction du profil matériel du capteur.
La conservation des données de chronologie d’événements n’est pas limitée par le temps. Toutefois, en supposant une fréquence de 500 événements par jour, tous les profils matériels sont en mesure de conserver les événements pendant au moins 90 jours.
Si un capteur dépasse sa taille de stockage maximale, l’événement le plus ancien chronologie fichier de données est supprimé pour prendre en charge le nouveau.
Le tableau suivant répertorie le nombre maximal d’événements pouvant être stockés pour chaque profil matériel :
| Profil matériel | Nombre d’événements |
|---|---|
| C5600 | 10 millions d’événements |
| E1800 | 10 millions d’événements |
| E1000 | Événements 6M |
| E500 | Événements 6M |
| L500 | Événements 3M |
| L100 | 500 000 événements |
Pour plus d’informations, consultez Suivre l’activité des capteurs et Appliances physiques préconfigurées pour la surveillance OT.
Conservation des fichiers journaux OT
Les fichiers journaux de service et de traitement sont stockés sur le Portail Azure pendant 30 jours à compter de leur date de création.
Les autres fichiers journaux de surveillance OT sont stockés uniquement sur le capteur réseau OT.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Capacité des fichiers de sauvegarde
Le capteur réseau OT dispose de sauvegardes automatisées exécutées quotidiennement, et les fichiers de sauvegarde plus anciens sont remplacés lorsque la capacité de stockage configurée atteint sa limite.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Sauvegardes sur le capteur réseau OT
La conservation des fichiers de sauvegarde dépend de l’architecture du capteur, car chaque profil matériel dispose d’une quantité définie d’espace disque alloué pour l’historique des sauvegardes :
| Profil matériel | Espace disque alloué |
|---|---|
| L100 | Les sauvegardes ne sont pas prises en charge |
| L500 | 20 Go |
| E1000 | 60 Go |
| E1800 | 100 Go |
| C5600 | 100 Go |
Partage de données pour Microsoft Defender pour IoT
Microsoft Defender pour IoT partage des données, y compris des données client, parmi les produits Microsoft suivants, également concédés sous licence par le client.
- Microsoft Defender XDR
- Microsoft Sentinel
- Centre microsoft de renseignement sur les menaces
- Microsoft Defender pour le cloud
- Microsoft Defender pour point de terminaison
- Sécurité Microsoft - Gestion de l’exposition
Prochaines étapes
Pour plus d’informations, reportez-vous aux rubriques suivantes :