Problèmes liés à la suppression de Microsoft Sentinel dans votre espace de travail

Si vous décidez que vous ne souhaitez plus utiliser votre instance Microsoft Sentinel associée à un espace de travail Log Analytics, supprimez Microsoft Sentinel de l’espace de travail. Mais avant de le faire, tenez compte des implications décrites dans cet article.

La suppression de Microsoft Sentinel de l’espace de travail Log Analytics peut prendre jusqu’à 48 heures. La configuration du connecteur de données et les tables Microsoft Sentinel sont supprimées. D’autres ressources et données sont conservées pendant une durée limitée.

Votre abonnement continue d’être inscrit auprès du fournisseur de ressources Microsoft Sentinel. Toutefois, vous pouvez le supprimer manuellement.

Si vous ne souhaitez pas conserver l’espace de travail et les données collectées pour Microsoft Sentinel, supprimez les ressources associées à l’espace de travail dans le portail Azure.

Modifications de tarification

Lorsque Microsoft Sentinel est supprimé d’un espace de travail, des coûts peuvent toujours être associés aux données dans Azure Monitor Log Analytics. Pour plus d’informations sur l’effet engendré sur les coûts du niveau d’engagement, consultez Comportement de retrait de facturation simplifié.

Configurations du connecteur de données supprimées

Les configurations du connecteur de données suivant sont supprimées lorsque vous supprimez Microsoft Sentinel de votre espace de travail.

• Microsoft 365

• Amazon Web Services

• Alertes de sécurité des services Microsoft :

  • Microsoft Defender pour Identity
  • Microsoft Defender for Cloud Apps, y compris le rapport informatique Shadow Cloud Discovery
  • Protection de l'identifiant Microsoft Entra
  • Microsoft Defender pour Endpoint
  • Microsoft Defender pour le cloud

• Informations sur les menaces

• Journaux de sécurité courants, notamment les journaux basés sur CEF, Barracuda et Syslog. Si vous recevez des alertes de sécurité à partir de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.

• Événements de sécurité Windows. Si vous recevez des alertes de sécurité à partir de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.

Dans les 48 premières heures, les règles de données et d’analytique, qui incluent la configuration d’automatisation en temps réel, ne sont plus accessibles ou interrogeables dans Microsoft Sentinel.

Ressources supprimées

Les ressources suivantes sont supprimées après 30 jours :

• Incidents (dont les métadonnées d’enquête)

• Règles analytiques

• Signets

Vos playbooks, classeurs enregistrés, requêtes de repérage enregistrées et blocs-notes ne sont pas supprimés. Certaines de ces ressources peuvent s’interrompre en raison des données supprimées. Supprimez ces ressources manuellement.

Après avoir supprimé le service, il existe une période de grâce de 30 jours pour réactiver Microsoft Sentinel. Vos règles de données et d’analytique sont restaurées, mais les connecteurs configurés qui ont été déconnectés doivent être reconnectés.

Tables Microsoft Sentinel supprimées

Lorsque vous supprimez Microsoft Sentinel de votre espace de travail, toutes les tables Microsoft Sentinel sont supprimées. Les données de ces tables ne sont pas accessibles ou interrogeables. Toutefois, la stratégie de rétention des données définie pour ces tables s’applique aux données des tables supprimées. Par conséquent, si vous réactivez Microsoft Sentinel sur l’espace de travail au cours de la période de rétention des données, les données conservées sont restaurées dans ces tables.

Les tables et les données associées inaccessibles lorsque vous supprimez Microsoft Sentinel incluent, mais ne sont pas limitées aux tableaux suivants :

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Ressources associées

• Supprimer Microsoft Sentinel de votre espace de travail Log Analytics
• Retirer Microsoft Sentinel du portail Defender.