Plans de rétention des journaux dans Microsoft Sentinel

Deux aspects antagonistes de la collecte et de la rétention des journaux sont critiques pour la réussite d’un programme de détection des menaces. D’un côté, vous voulez optimiser le nombre de sources des journaux que vous collectez, afin de disposer de la couverture de sécurité la plus complète possible. De l’autre, vous devez réduire les coûts induits par l’ingestion de toutes ces données.

Ces besoins antagonistes nécessitent une stratégie de gestion des journaux qui réalise un équilibre entre l’accessibilité des données, les performances des requêtes et les coûts de stockage.

Cet article décrit les catégories de données et les états de rétention utilisés pour stocker et accéder à vos données. Il décrit également les plans de journaux offerts par Microsoft Sentinel pour créer une stratégie de gestion et de rétention des journaux.

Important

Le type de journal Journaux d’activité auxiliaires est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Catégories de données ingérées

Microsoft recommande de classifier les données ingérées dans Microsoft Sentinel en deux catégories générales :

  • Données de sécurité principales correspond aux données dont les valeurs sont critiques pour la sécurité. Ces données sont utilisées pour la surveillance proactive en temps réel, les alertes planifiées et l’analyse pour détecter les menaces de sécurité. Les données doivent être disponibles immédiatement pour toutes les expériences Microsoft Sentinel en quasi-temps réel.

  • Données de sécurité secondaires correspond aux données supplémentaires, souvent dans des journaux détaillés volumineux. Ces données ont une valeur limitée pour la sécurité, mais elles peuvent fournir des détails et un contexte supplémentaires pour les détections et les investigations, ce qui permet d’obtenir l’image complète d’un incident de sécurité. Il n’est pas nécessaire qu’elles soit disponibles immédiatement, mais elles doivent être accessibles à la demande, selon les besoins et dans les quantités appropriées.

Données de sécurité principales

Cette catégorie se compose de journaux qui contiennent des valeurs critiques pour la sécurité de votre organisation. Les données de sécurité principales peuvent être décrites par les cas d’usage suivants pour les opérations de sécurité :

  • Surveillance fréquente. . Des règles (d’analyse) de détection des menaces sont exécutées sur ces données à intervalles fréquents ou en quasi-temps réel.

  • Repérage à la demande. Des requêtes complexes sont exécutées sur ces données pour effectuer un repérage interactif à hautes performances des menaces de sécurité.

  • Corrélation. Les données de ces sources sont corrélées avec les données d’autres sources de données de sécurité principales pour détecter les menaces et créer des scénarios d’attaque.

  • Rapports réguliers. Les données provenant de ces sources sont disponibles immédiatement pour compilation dans des rapports réguliers de l’intégrité de la sécurité de l’organisation, à la fois pour les décideurs en matière de sécurité et les décideurs pour les questions générales.

  • Analyse du comportement. Les données provenant de ces sources sont utilisées pour créer des profils de comportement de base de référence pour vos utilisateurs et vos appareils, ce qui vous permet d’identifier les comportements hors norme comme suspects.

Les journaux des systèmes antivirus ou de détection et de réponse d’entreprise (EDR), les journaux d’authentification, les pistes d’audit des plateformes cloud, les flux de veille des menaces et les alertes provenant de systèmes externes sont des exemples de sources de données principales.

Les journaux contenant des données de sécurité principales doivent être stockés en utilisant le plan Journaux d’analyse décrit plus loin dans cet article.

Données de sécurité secondaires

Cette catégorie englobe les journaux dont la valeur individuelle pour la sécurité est limitée, mais qui sont essentiels pour fournir une vue complète d’un incident ou d’une violation de sécurité. En règle générale, ces journaux sont volumineux et peuvent contenir beaucoup de détails. Les cas d’usage des opérations de sécurité pour ces données sont les suivants :

  • Intelligence des menaces. Les données principales peuvent faite l’objet de vérifications relativement à des listes d’indicateurs de compromission (IoC) ou d’indicateurs d’attaque (IoA) pour détecter rapidement et facilement les menaces.

  • Repérage/investigations ad hoc. Les données peuvent être interrogées de façon interactive pendant 30 jours, ce qui facilite l’analyse cruciale pour le repérage et l’investigation des menaces.

  • Recherches à grande échelle. Les données peuvent être ingérées et faire l’objet de recherches en arrière-plan à l’échelle du pétaoctet, tout en étant stockées efficacement avec un traitement minimal.

  • Synthèse via des règles de synthèse. Faites la synthèse des journaux volumineux sous forme d’informations agrégées et stockez les résultats en tant que données de sécurité principales. Pour en savoir plus sur les règles de synthèse, consultez Agréger des données Microsoft Sentinel avec des règles de synthèse.

Les journaux d’accès au stockage cloud, les journaux NetFlow, les journaux de certificats TLS/SSL, les journaux de pare-feu, les journaux de proxy et les journaux IoT sont des exemples de sources de journaux de données secondaires. Pour en savoir plus sur la façon dont chacune de ces sources apportent une valeur ajoutée aux détections de sécurité sans être nécessaires en permanence, consultez Sources de journaux à utiliser pour l’ingestion de journaux auxiliaires.

Les journaux contenant des données de sécurité secondaires doivent être stockés en utilisant le plan Journaux auxiliaires (actuellement en préversion) décrit plus loin dans cet article.

Pour une option qui n’est pas en préversion, vous pouvez utiliser à la place le plan Journaux de base.

Plans de gestion des journaux

Microsoft Sentinel fournit deux plans ou types de stockage des journaux différents pour prendre en charge ces catégories de données ingérées.

  • Le plan Journaux d’analyse est conçu pour stocker les données de sécurité principales, et pour les rendre accessibles facilement et en permanence avec des performances élevées.

  • Le plan Journaux auxiliaires est conçu pour stocker les données de sécurité secondaires à très faible coût pendant de longues périodes, tout en permettant une accessibilité limitée.

  • Un troisième plan, Journaux de base, est le prédécesseur du plan Journaux auxiliaires et peut être utilisé comme substitut de celui-ci pendant la période où le plan Journaux auxiliaires reste en préversion.

Chacun de ces plans conserve les données dans deux états différents :

  • L’état de rétention interactive est l’état initial dans lequel les données sont ingérées. Cet état permet différents niveaux d’accès aux données, en fonction du plan, et les coûts de cet état varient considérablement selon le plan.

  • L’état de rétention à long terme conserve des données plus anciennes dans ses tables d’origine pendant jusqu’à 12 ans, à un coût extrêmement faible, quel que soit le plan.

Pour plus d’informations sur les états de rétention, consultez Gérer la rétention des données dans un espace de travail Log Analytics.

Le diagramme suivant résume et compare ces deux plans de gestion des journaux.

Diagramme des plans de journaux disponibles dans Microsoft Sentinel.

Plan Journaux d’analyse

Le plan Journaux d’analyse conserve les données dans l’état de rétention interactive pendant 90 jours par défaut, extensibles à jusqu’à 2 ans. Cet état interactif, bien que coûteux, vous permet d’interroger vos données de façon illimitée, avec des performances élevées, sans coûts par requête.

Quand la période de rétention interactive se termine, les données passent à l’état de rétention à long terme, tout en restant dans leurs tables d’origine. La période de rétention à long terme n’est pas définie par défaut, mais vous pouvez la définir sur une valeur allant jusqu’à 12 ans. Cet état de rétention conserve vos données à un coût extrêmement faible, à des fins de conformité réglementaire ou de stratégie interne. Vous pouvez accéder aux données qui sont dans cet état seulement en utilisant un travail de recherche ou une restauration pour extraire des ensembles limités de données dans une nouvelle table en rétention interactive, où vous pouvez utiliser les fonctionnalités complètes des requêtes.

Plan Journaux auxiliaires

Le plan Journaux auxiliaires conserve les données dans l’état de rétention interactive pendant 30 jours. Dans le plan Journaux auxiliaires, cet état a des coûts de rétention très faibles en comparaison du plan Journaux d’analyse. Cependant, les fonctionnalités de requête sont limitées : les requêtes sont facturées par gigaoctet de données analysées, elles sont limitées à une seule table et les performances sont considérablement inférieures. Bien que ces données restent dans l’état de rétention interactive, vous pouvez exécuter des règles de synthèse sur ces données pour créer des tables de synthèse agrégées dans le plan Journaux d’analyse afin de disposer des fonctionnalités complètes des requêtes sur ces données agrégées.

Quand la période de rétention interactive se termine, les données passent à l’état de rétention à long terme, en restant dans leurs tables d’origine. La rétention à long terme dans le plan Journaux auxiliaires est similaire à la rétention à long terme dans le plan Journaux d’analyse, sauf que la seule option d’accès aux données est via un travail de recherche. La restauration n’est pas prise en charge pour le plan Journaux auxiliaires.

Plan Journaux de base

Un troisième plan, appelé Journaux de base, fournit des fonctionnalités similaires au plan Journaux auxiliaires, mais à un coût de rétention interactive plus élevé (mais pas aussi élevé que celui du plan Journaux d’analyse). Pendant que le plan Journaux auxiliaires reste en préversion, le plan Journaux de base peut être une option pour la rétention à long terme et à faible coût si votre organisation n’utilise pas les fonctionnalités en préversion. Pour en savoir plus sur le plan Journaux de base, consultez Plans pour les tables dans la documentation Azure Monitor.