Vaikutukset Microsoft Sentinel poistamiseen työtilasta

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jos et halua enää käyttää Log Analytics -työtilaan liitettyä Microsoft Sentinel esiintymää, poista Microsoft Sentinel työtilasta. Mieti kuitenkin ennen sitä tässä artikkelissa kuvattuja vaikutuksia.

Voi kestää jopa 48 tuntia, ennen kuin Microsoft Sentinel poistetaan Log Analytics -työtilasta. Tietoyhdistimen määritykset ja Microsoft Sentinel taulukot poistetaan. Muita resursseja ja tietoja säilytetään rajoitetun ajan.

Tilauksesi on edelleen rekisteröity Microsoft Sentinel resurssipalveluun. Voit kuitenkin poistaa sen manuaalisesti.

Jos et halua säilyttää työtilaa ja Microsoft Sentinel kerättyjä tietoja, poista työtilaan liittyvät resurssit Azure-portaali.

Hinnoittelumuutokset

Kun Microsoft Sentinel poistetaan työtilasta, Azure Log Analyticsin tietoihin saattaa liittyä kustannuksia. Lisätietoja sitoutumistason kustannusten vaikutuksesta on kohdassa Yksinkertaistetun laskutuksen käytöstä poistamisen toiminta.

Tietoyhdistimen määritykset poistettu

Seuraavan tietoliittimen määritykset poistetaan, kun poistat Microsoft Sentinel työtilastasi.

  • Microsoft 365

  • Amazon Web Services

  • Microsoft-palveluiden suojausilmoitukset:

    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps mukaan lukien Cloud Discovery Shadow IT -raportointi
    • Microsoft Entra ID suojaus
    • Microsoft Defender for Endpoint
    • Microsoft Defender for Cloud

  • Uhkien tiedustelutiedot

  • Yleisiä suojauslokeja, kuten CEF-pohjaisia lokeja, Barracudaa ja Syslokia. Jos saat suojausilmoituksia Microsoft Defender Cloudille, näitä lokeja kerätään edelleen.

  • Windowsin suojaus tapahtumat. Jos saat suojausilmoituksia Microsoft Defender Cloudille, näitä lokeja kerätään edelleen.

Ensimmäisen 48 tunnin aikana reaaliaikaisen automaation määritykset sisältävät tietojen ja analytiikan säännöt eivät ole enää käytettävissä tai niitä voidaan kysellä Microsoft Sentinel.

Resurssit poistettu

Seuraavat resurssit poistetaan 30 päivän kuluttua:

  • Tapaukset (mukaan lukien tutkinnan metatiedot)

  • Analysointisäännöt

  • Kirjanmerkit

Pelikirjoja, tallennettuja työkirjoja, tallennettuja metsästyskyselyitä ja muistikirjoja ei poisteta. Jotkin näistä resursseista saattavat keskeytyä poistettujen tietojen vuoksi. Poista nämä resurssit manuaalisesti.

Kun olet poistanut palvelun, voit ottaa Microsoft Sentinel uudelleen käyttöön 30 päivän lisäajan. Tieto- ja analytiikkasääntösi palautetaan, mutta katkaistut määritetyt liittimet on yhdistettävä uudelleen.

Microsoft Sentinel taulukot poistettu

Kun poistat Microsoft Sentinel työtilasta, kaikki Microsoft Sentinel taulukot poistetaan. Näiden taulukoiden tiedot eivät ole käytettävissä tai niitä ei voi kysellä. Mutta näille taulukoille määritetty tietojen säilytyskäytäntö koskee poistettujen taulukoiden tietoja. Jos siis otat Microsoft Sentinel uudelleen käyttöön työtilassa tietojen säilytysajan kuluessa, säilytetyt tiedot palautetaan kyseisiin taulukoihin.

Taulukot ja niihin liittyvät tiedot, joita ei voi käyttää, kun poistat Microsoft Sentinel, sisältävät seuraavat taulukot, mutta eivät rajoitu seuraaviin taulukoihin:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on