Conservation et partage des données dans Microsoft Defender pour IoT
Les capteurs Microsoft Defender pour IoT apprennent un planning de référence de votre trafic réseau pendant la période d’apprentissage initiale après le déploiement. Ce planning de référence appris est stocké de manière indéfinie dans vos capteurs.
Defender pour IoT stocke également d’autres données dans le Portail Azure, les capteurs réseau OT et les consoles de gestion locales.
Chaque emplacement de stockage offre une certaine capacité de stockage et des durées de conservation des données. Cet article décrit la quantité et la durée de stockage de chaque type de données dans chaque emplacement avant leur suppression ou leur remplacement.
Périodes de conservation des données de l’appareil
Le tableau suivant répertorie la durée pendant laquelle les données de l’appareil sont stockées dans chaque emplacement Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Azure portal | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer l’inventaire de vos appareils à partir du portail Azure. |
| Capteur réseau OT | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer l’inventaire de vos appareils OT à partir de la console de capteurs. |
| Console de gestion locale | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer votre inventaire d’appareils OT à partir d’une console de gestion locale. |
Conservation des données des alertes
Le tableau suivant répertorie la durée de stockage des données d’alerte dans chaque emplacement Defender pour IoT. Les données d’alerte sont stockées comme indiqué, quel que soit l’état de l’alerte, ou si elles ont été apprises ou désactivées.
| Type de stockage | Détails |
|---|---|
| Azure portal | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez Afficher et gérer les alertes à partir du Portail Azure. |
| Capteur réseau OT | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez Afficher les alertes sur votre capteur. |
| Console de gestion locale | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez l’article Utiliser des alertes sur la console de gestion locale. |
Conservation des données PCAP d’alertes OT
Le tableau suivant répertorie la durée de stockage des données PCAP dans chaque emplacement Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Azure portal | Les fichiers PCAP peuvent être téléchargés à partir du Portail Azure tant que le capteur réseau OT les stocke. Une fois téléchargés, les fichiers sont mis en cache sur le Portail Azure pendant 48 heures. Pour plus d’informations, consultez l’article Accéder aux données PCAP d’une alerte. |
| Capteur réseau OT | Il dépend de la capacité de stockage du capteur allouée aux fichiers PCAP, qui est déterminée par son profil matériel : - C5600 : 130 GO - E1800 : 130 GO - E1000 : 78 Go - E500 : 78 GO - L500 : 7 GO - L100 : 2,5 Go Si un capteur dépasse sa capacité de stockage maximale, le fichier PCAP le plus ancien est supprimé pour prendre en charge le nouveau. Pour plus d’informations, consultez les articles Accéder aux données PCAP d’une alerte et Appliances physiques préconfigurées pour le monitoring OT. |
| Console de gestion locale | Les fichiers PCAP ne sont pas stockés sur la console de gestion locale et sont accessibles uniquement à partir de la console de gestion locale via un lien direct vers le capteur OT. |
L’utilisation de l’espace de stockage PCAP disponible dépend de facteurs tels que le nombre d’alertes, le type de l’alerte et la bande passante réseau, qui affectent tous la taille du fichier PCAP.
Conseil
Pour éviter de dépendre de la capacité de stockage du capteur, utilisez un stockage externe pour sauvegarder vos données PCAP.
Conservation des recommandations de sécurité
Les recommandations de sécurité Defender pour IoT sont stockées uniquement sur le Portail Azure, pendant 90 jours à compter de la première détection de la recommandation.
Pour plus d’informations, consultez Améliorer la posture de sécurité avec les recommandations de sécurité.
Conservation de la chronologie d’événements OT
Les données de chronologie des événements OT sont stockées uniquement sur les capteurs réseau OT, et la capacité de stockage diffère en fonction du profil matériel du capteur.
La conservation des données de chronologie des événements n’est pas limitée par le temps. Toutefois, en supposant une fréquence de 500 événements par jour, tous les profils matériels pourront conserver les événements pendant au moins 90 jours.
Si un capteur dépasse sa taille de stockage maximale, le plus ancien fichier de données de chronologie des événements est supprimé pour prendre en charge le nouveau.
Le tableau suivant répertorie le nombre maximal d’événements pouvant être stockés pour chaque profil matériel :
| Profil matériel | Nombre d'événements |
|---|---|
| C5600 | 10 millions d’événements |
| E1800 | 10 millions d’événements |
| E1000 | 6 millions d’événements |
| E500 | 6 millions d’événements |
| L500 | 3 millions d’événements |
| L100 | 500 000 événements |
Pour plus d’informations, consultez les articles Suivre l’activité d’un capteur et Appliances physiques préconfigurées pour le monitoring OT.
Conservation des fichiers journaux OT
Les fichiers journaux de service et de traitement sont stockés sur le Portail Azure pendant 30 jours à compter de leur date de création.
Les autres fichiers journaux de surveillance OT sont stockés uniquement sur le capteur réseau OT et la console de gestion locale.
Pour plus d'informations, consultez les pages suivantes :
Partage des données
Microsoft Defender pour IoT partage des données, y compris des données client, entre les produits Microsoft suivants, également sous licence du client :
- Gestion de l’exposition pour la Sécurité Microsoft
Capacité du fichier de sauvegarde locale
Des sauvegardes automatisées sont exécutées quotidiennement sur le capteur réseau OT et la console de gestion locale.
Sur le capteur OT et la console de gestion locale, les fichiers de sauvegarde plus anciens sont remplacés lorsque la capacité de stockage configurée a atteint son maximum.
Pour plus d'informations, consultez les pages suivantes :
- Configurer des fichiers de sauvegarde et de restauration dans un capteur OT
- Configurer les paramètres de sauvegarde du capteur OT dans une console de gestion locale
- Configurer les paramètres de sauvegarde du capteur OT pour une console de gestion locale
Sauvegardes sur le capteur réseau OT
La conservation des fichiers de sauvegarde dépend de l’architecture du capteur, car chaque profil matériel dispose d’une quantité définie d’espace du disque dur alloué à l’historique des sauvegardes :
| Profil matériel | Espace alloué sur le disque dur |
|---|---|
| L100 | Les sauvegardes ne sont pas prises en charge |
| L500 | 20 Go |
| E1000 | 60 Go |
| E1800 | 100 Go |
| C5600 | 100 Go |
Si l’appareil ne dispose pas d’un espace alloué sur le disque dur, seule la dernière sauvegarde est enregistrée sur la console de gestion locale.
Sauvegardes sur la console de gestion locale
L’espace du disque dur alloué aux fichiers de sauvegarde de la console de gestion locale est limité à 10 Go et à seulement 20 sauvegardes.
Si vous utilisez une console de gestion locale, chaque capteur OT connecté a également son propre répertoire de sauvegarde supplémentaire sur la console de gestion locale :
- Un seul fichier de sauvegarde de capteur est limité à un maximum de 40 Go. Un fichier dépassant cette taille n’est pas envoyé à la console de gestion locale.
- L’espace total du disque dur alloué à la sauvegarde des capteurs à partir de tous les capteurs de la console de gestion locale est de 100 Go.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :