Conservation, confidentialité et partage des données dans Microsoft Defender pour IoT
Microsoft Defender pour IoT stocke les données dans le Portail Microsoft Azure, les capteurs réseau OT et dans les consoles de gestion locales.
Les options de capacité de stockage et les durées de conservation varient selon le type de stockage. Cet article décrit la stratégie de conservation des données pour la quantité de données et la durée pendant laquelle ces données sont stockées dans chaque type de stockage avant d’être supprimées ou remplacées.
Que collectons-nous ?
Defender pour IoT collecte des informations à partir de vos appareils configurés et les stocke dans un client propre au service, dédié au client et séparé. Les données stockées sont destinées à l’administration, au suivi et à la création de rapports.
Parmi les informations collectées, citons les données de connexion réseau (adresses IP et ports) et les détails de l’appareil (identificateurs d’appareil, noms, versions du système d’exploitation, versions du microprogramme). Defender pour IoT stocke ces données de manière sécurisée conformément aux pratiques de confidentialité de Microsoft et aux stratégies du Centre de gestion de la confidentialité Microsoft.
Ces données permettent à Defender pour IoT d’effectuer les opérations suivantes :
- Identifier de manière proactive les indicateurs d’attaque (IOA) dans votre organisation.
- Générer des alertes si une attaque potentielle est détectée.
- Fournir à votre équipe de sécurité une vue des appareils et des adresses liés aux signaux de menace de votre réseau, vous permettant ainsi d’examiner et d’explorer les menaces potentielles pour la sécurité du réseau.
Microsoft n’utilise pas vos données à des fins publicitaires.
Emplacement des données
Defender pour IoT utilise les centres de données Microsoft Azure situés dans l’Union européenne et aux États-Unis. Les données client collectées par le service peuvent être stockées dans l’une des deux géolocalisations suivantes :
- Géolocalisation du locataire identifiée pendant l’approvisionnement.
- Géolocalisation définie par les règles de stockage des données d’un service en ligne, utilisée par Defender pour IoT pour traiter ses données.
Conservation des données
Les données de Defender pour IoT sont conservées tant qu’un client est actif ou pendant 90 jours après la fin de votre contrat. Pendant cette période, les données sont visibles dans les autres services du portail.
Vos données sont conservées et disponibles lorsque votre licence est en période de grâce ou en mode suspendu. 90 jours après la fin de cette période, vos données sont effacées des systèmes Microsoft et sont donc irrécupérables.
Périodes de conservation des données de l’appareil
Le tableau suivant liste la durée pendant laquelle les données d’appareil sont stockées dans chaque type de stockage Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Azure portal | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer l’inventaire de vos appareils à partir du portail Azure. |
| Capteur réseau OT | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer l’inventaire de vos appareils OT à partir de la console de capteurs. |
| Console de gestion locale | 90 jours à compter de la date de la valeur Dernière activité. Pour plus d’informations, consultez Gérer votre inventaire d’appareils OT à partir d’une console de gestion locale. |
Conservation des données des alertes
Le tableau suivant liste la durée pendant laquelle les données d’alerte sont stockées dans chaque type de stockage Defender pour IoT. Les données d’alerte sont stockées comme indiqué, quel que soit l’état de l’alerte, ou si elles ont été apprises ou désactivées.
| Type de stockage | Détails |
|---|---|
| Azure portal | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez Afficher et gérer les alertes à partir du Portail Azure. |
| Capteur réseau OT | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez Afficher les alertes sur votre capteur. |
| Console de gestion locale | 90 jours à compter de la date dans la valeur Première détection. Pour plus d’informations, consultez l’article Utiliser des alertes sur la console de gestion locale. |
Conservation des données PCAP d’alertes OT
Le tableau suivant liste la durée pendant laquelle les données PCAP sont stockées dans chaque type de stockage Defender pour IoT.
| Type de stockage | Détails |
|---|---|
| Azure portal | Les fichiers PCAP peuvent être téléchargés à partir du Portail Azure tant que le capteur réseau OT les stocke. Une fois téléchargés, les fichiers sont mis en cache sur le Portail Azure pendant 48 heures. Pour plus d’informations, consultez l’article Accéder aux données PCAP d’une alerte. |
| Capteur réseau OT | Varie selon la capacité de stockage du capteur allouée aux fichiers PCAP, qui détermine son profil matériel : - C5600 : 130 GO - E1800 : 130 GO - E1000 : 78 Go - E500 : 78 GO - L500 : 7 GO - L100 : 2,5 Go Si un capteur dépasse sa capacité de stockage maximale, le fichier PCAP le plus ancien est supprimé pour prendre en charge le nouveau. Pour plus d’informations, consultez les articles Accéder aux données PCAP d’une alerte et Appliances physiques préconfigurées pour le monitoring OT. |
| Console de gestion locale | Les fichiers PCAP ne sont pas stockés sur la console de gestion locale et sont accessibles uniquement à partir de la console de gestion locale via un lien direct vers le capteur OT. |
L’utilisation de l’espace de stockage PCAP disponible dépend de facteurs tels que le nombre d’alertes, le type de l’alerte et la bande passante réseau, qui affectent tous la taille du fichier PCAP.
Conseil
Pour éviter de dépendre de la capacité de stockage du capteur, utilisez un stockage externe pour sauvegarder vos données PCAP.
Conservation des recommandations de sécurité
Les recommandations de sécurité Defender pour IoT sont stockées uniquement sur le Portail Azure, pendant 90 jours à compter de la première détection de la recommandation.
Pour plus d’informations, consultez Améliorer la posture de sécurité avec les recommandations de sécurité.
Conservation de la chronologie d’événements OT
Les données de chronologie des événements OT sont stockées uniquement sur les capteurs réseau OT, et la capacité de stockage diffère en fonction du profil matériel du capteur.
La conservation des données de chronologie des événements n’est pas limitée par le temps. Toutefois, en supposant une fréquence de 500 événements par jour, tous les profils matériels peuvent conserver les événements pendant au moins 90 jours.
Si un capteur dépasse sa taille de stockage maximale, le plus ancien fichier de données de chronologie des événements est supprimé pour prendre en charge le nouveau.
Le tableau suivant répertorie le nombre maximal d’événements pouvant être stockés pour chaque profil matériel :
| Profil matériel | Nombre d'événements |
|---|---|
| C5600 | 10 millions d’événements |
| E1800 | 10 millions d’événements |
| E1000 | 6 millions d’événements |
| E500 | 6 millions d’événements |
| L500 | 3 millions d’événements |
| L100 | 500 000 événements |
Pour plus d’informations, consultez les articles Suivre l’activité d’un capteur et Appliances physiques préconfigurées pour le monitoring OT.
Conservation des fichiers journaux OT
Les fichiers journaux de service et de traitement sont stockés sur le Portail Azure pendant 30 jours à compter de leur date de création.
Les autres fichiers journaux de surveillance OT sont stockés uniquement sur le capteur réseau OT et la console de gestion locale.
Pour plus d'informations, consultez les pages suivantes :
Capacité des fichiers de sauvegarde
Le capteur réseau OT et la console de gestion local exécutent des sauvegardes automatisées quotidiennes, et les fichiers de sauvegarde plus anciens sont remplacés une fois la limite de la capacité de stockage atteinte.
Pour plus d’informations, consultez l’article suivant :
- Configurer des fichiers de sauvegarde et de restauration dans un capteur OT
- Configurer les paramètres de sauvegarde du capteur OT dans une console de gestion locale
Sauvegardes sur le capteur réseau OT
La conservation des fichiers de sauvegarde dépend de l’architecture du capteur, car chaque profil matériel dispose d’une quantité définie d’espace du disque dur alloué à l’historique des sauvegardes :
| Profil matériel | Espace alloué sur le disque dur |
|---|---|
| L100 | Les sauvegardes ne sont pas prises en charge |
| L500 | 20 Go |
| E1000 | 60 Go |
| E1800 | 100 Go |
| C5600 | 100 Go |
Si l’appareil ne peut pas allouer suffisamment d’espace disque dur, seule la dernière sauvegarde est enregistrée sur la console de gestion locale.
Sauvegardes sur la console de gestion locale
L’espace du disque dur alloué aux fichiers de sauvegarde de la console de gestion locale est limité à 10 Go et à seulement 20 sauvegardes.
Si vous utilisez une console de gestion locale, chaque capteur OT connecté a également son propre répertoire de sauvegarde supplémentaire sur la console de gestion locale :
- Un seul fichier de sauvegarde de capteur est limité à un maximum de 40 Go. Un fichier dépassant cette taille n’est pas envoyé à la console de gestion locale.
- L’espace total du disque dur alloué à la sauvegarde des capteurs à partir de tous les capteurs de la console de gestion locale est de 100 Go.
Partage de données pour Microsoft Defender pour IoT
Microsoft Defender pour IoT partage des données, y compris des données client, entre les produits Microsoft suivants, également sous licence du client.
- Microsoft Defender XDR
- Microsoft Sentinel
- Centre de veille des menaces Microsoft
- Microsoft Defender pour le cloud
- Microsoft Defender for Endpoint
- Sécurité Microsoft - Gestion de l’exposition
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :