Compartir a través de

Implicaciones de quitar Microsoft Sentinel del área de trabajo

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Si decide que ya no desea usar la instancia de Microsoft Sentinel asociada a un área de trabajo de Log Analytics, quite Microsoft Sentinel del área de trabajo. Pero antes de hacerlo, tenga en cuenta las implicaciones descritas en este artículo.

Microsoft Sentinel puede tardar hasta 48 horas en eliminarse del área de trabajo de Log Analytics. Se eliminarán la configuración del conector de datos y las tablas de Microsoft Sentinel. Otros recursos y datos se conservarán durante un tiempo limitado.

La suscripción seguirá registrada con el proveedor de recursos de Microsoft Sentinel. Sin embargo, puede eliminarla manualmente.

Si no quiere conservar el área de trabajo y los datos recopilados para Microsoft Sentinel, elimine los recursos asociados al área de trabajo en Azure Portal.

Cambios de precios

Cuando se elimina Microsoft Sentinel de un área de trabajo, es posible que aún existan costes asociados a los datos de Azure Monitor Log Analytics. Para más información sobre el efecto en los costes de los niveles de compromiso, consulte Comportamiento simplificado de exclusión de facturación.

Se han eliminado las configuraciones del conector de datos

Las configuraciones del siguiente conector de datos se eliminarán al quitar Microsoft Sentinel del área de trabajo.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de seguridad de servicios de Microsoft:

    • Microsoft Defender for Identity
    • Aplicaciones de Microsoft Defender for Cloud, incluidos los informes Shadow IT de Cloud Discovery
    • Protección de Microsoft Entra ID
    • Microsoft Defender para punto de conexión
    • Microsoft Defender for Cloud

  • Información sobre amenazas

  • Registros de seguridad comunes, incluidos los registros basados en CEF, Barracuda y Syslog. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.

  • Eventos de seguridad de Windows. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.

Durante las primeras 48 horas, los datos y las reglas de análisis, que incluyen la configuración de la automatización en tiempo real, dejarán de ser accesibles o consultables en Microsoft Sentinel.

Recursos quitados

Los siguientes recursos se quitarán después de 30 días:

  • Incidentes (incluidos los metadatos de investigación)

  • Reglas de análisis

  • Marcadores

Los cuadernos de estrategias, libros guardados, consultas de búsqueda guardadas y cuadernos no se eliminan. Algunos de estos recursos podrían interrumpirse debido a los datos eliminados. Quite esos recursos manualmente.

Después de eliminar el servicio, hay un período de gracia de 30 días para volver a habilitar Microsoft Sentinel. Se restauran los datos y las reglas de análisis, pero los conectores configurados que se desconectaron deberán volver a conectarse.

Tablas de Microsoft Sentinel eliminadas

Al quitar Microsoft Sentinel del área de trabajo, se eliminan todas las tablas de Microsoft Sentinel. Los datos de estas tablas no son accesibles ni consultables. Pero la directiva de retención de datos establecida para esas tablas se aplica a los datos de las tablas eliminadas. Por lo tanto, si vuelve a habilitar Microsoft Sentinel en el área de trabajo dentro del período de tiempo de retención de datos, los datos retenidos se restauran en esas tablas.

Las tablas y los datos relacionados que no son accesibles al quitar Microsoft Sentinel incluyen, pero no se limitan a las tablas siguientes:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent