Rétention du journal des événements Windows

Bien que Tenable Identity Exposure s'efforce de traiter autant de journaux d'événements Windows que possible pour prendre en charge l'analyse de sécurité au sein de la fonction Indicateur d'attaque, il existe des limitations techniques, telles que la mémoire disponible sur la machine qui exécute les services.

La période de rétention globale par défaut est de 5 minutes. Cependant, des journaux d'événements Windows spécifiques ont des périodes de rétention prolongées pour atténuer les problèmes de corrélation que le moteur de sécurité peut rencontrer :

• SYSMON 5722 et 5723 : conservés pendant 6 heures.

• Microsoft-Windows-security-auditing/4624 : la période de rétention de ce journal est dynamique, car il est fortement utilisé dans les indicateurs d'attaque pour la détection et la corrélation. Le système ajuste la rétention en fonction de l'utilisation de la mémoire pour équilibrer le traitement des événements avec les ressources système :

  • Première heure : le service d'analyse de sécurité applique la période de rétention par défaut de 5 minutes.

  • Après la première heure, le système évalue la mémoire restante et ajuste la rétention comme suit :

    • Si la mémoire disponible est supérieure à 50 % : 1 jour.

    • Si la mémoire disponible est de 35 % à 50 % : 6 heures.

    • Si la mémoire disponible est de 20 % à 35 % : 1 heure.

    • Si la mémoire disponible est de 10 % à 20 % : 10 minutes.

    • Si la mémoire disponible est inférieure à 10 % : 5 minutes par défaut.

Cette approche dynamique garantit que le système peut gérer efficacement les événements entrants tout en conservant une mémoire adéquate pour l'analyse de sécurité.