Auswirkungen des Entfernens von Microsoft Sentinel aus Ihrem Arbeitsbereich

Wenn Sie entscheiden, dass Sie Ihre Microsoft Sentinel-Instanz, die einem Log Analytics-Arbeitsbereich zugeordnet ist, nicht mehr verwenden möchten, entfernen Sie Microsoft Sentinel aus dem Arbeitsbereich. Vorher sollten Sie jedoch die in diesem Artikel beschriebenen Auswirkungen berücksichtigen.

Es kann bis zu 48 Stunden dauern, bis Microsoft Sentinel aus dem Log Analytics-Arbeitsbereich entfernt ist. Die Konfiguration für den Datenkonnektor und Microsoft Sentinel-Tabellen werden gelöscht. Andere Ressourcen und Daten werden für einen begrenzten Zeitraum aufbewahrt.

Ihr Abonnement bleibt weiterhin beim Microsoft Sentinel-Ressourcenanbieter registriert. Sie können dies jedoch manuell entfernen.

Wenn Sie den Arbeitsbereich und die für Microsoft Sentinel gesammelten Daten nicht behalten möchten, löschen Sie die Ressourcen, die dem Arbeitsbereich im Azure-Portal zugeordnet sind.

Preisänderungen

Wenn Microsoft Sentinel aus einem Arbeitsbereich entfernt wird, können weiterhin Kosten für die Daten in Azure Monitor-Log Analytics anfallen. Weitere Informationen zu den Auswirkungen auf die Kosten des Verpflichtungstarifs finden Sie unter Vereinfachtes Offboardingverhalten der Abrechnung.

Die Konfigurationen für den Datenkonnektor wurden entfernt

Die Konfigurationen für den folgenden Datenconnector werden entfernt, wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen.

• Microsoft 365

• Amazon Web Services

• Sicherheitsbenachrichtigungen von Microsoft-Diensten:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud-Apps einschließlich Durchführen des Cloud Discovery-Shadowing für die IT-Berichterstellung
  • Microsoft Entra ID-Schutz
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender für Cloud

• Bedrohungserkennung

• Allgemeine Sicherheitsprotokolle, einschließlich CEF-basierte Protokolle, Barracuda und Syslog. Wenn Sie Sicherheitswarnungen von Microsoft Defender for Cloud erhalten, werden diese Protokolle weiterhin gesammelt.

• Windows-Sicherheitsereignisse. Wenn Sie Sicherheitswarnungen von Microsoft Defender for Cloud erhalten, werden diese Protokolle weiterhin gesammelt.

Innerhalb der ersten 48 Stunden kann auf die Daten und Analyseregeln in Microsoft Sentinel, einschließlich Echtzeit-Automatisierungskonfiguration, nicht mehr zugegriffen werden, und sie können auch nicht mehr abgefragt werden.

Ressourcen wurden entfernt

Die folgenden Ressourcen werden nach 30 Tagen entfernt:

• Incidents (einschließlich Untersuchungsmetadaten)

• Analyseregeln

• Lesezeichen

Ihre Playbooks, gespeicherten Arbeitsmappen, gespeicherten Suchabfragen und Notebooks werden nicht entfernt. Einige dieser Ressourcen können aufgrund der entfernten Daten unterbrochen werden. Entfernen Sie diese Ressourcen manuell.

Nachdem Sie den Dienst entfernt haben, gibt es eine Karenzzeit von 30 Tagen, um Microsoft Sentinel erneut zu aktivieren. Ihre Daten und Analyseregeln werden wiederhergestellt, aber die konfigurierten Konnektoren, die getrennt wurden, müssen erneut verbunden werden.

Microsoft Sentinel-Tabellen wurden gelöscht

Wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen, werden alle Microsoft Sentinel-Tabellen gelöscht. Auf die Daten in diesen Tabellen kann nicht mehr zugegriffen werden, und sie können auch nicht mehr abgefragt werden. Die für diese Tabellen festgelegte Datenaufbewahrungsrichtlinie gilt jedoch für die Daten in den gelöschten Tabellen. Wenn Sie Microsoft Sentinel also innerhalb des Datenaufbewahrungszeitraums im Arbeitsbereich wieder aktivieren, werden die aufbewahrten Daten in diese Tabellen wiederhergestellt.

Zu den Tabellen und zugehörigen Daten, auf die nicht mehr zugegriffen werden kann, wenn Sie Microsoft Sentinel entfernen, gehören unter anderem die folgenden Tabellen:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Zugehörige Ressourcen

• Entfernen von Microsoft Sentinel aus Ihrem Log Analytics-Arbeitsbereich
• Offboarding von Microsoft Sentinel aus dem Defender-Portal durchführen.