Implikasjoner ved å fjerne Microsoft Sentinel fra arbeidsområdet

Hvis du bestemmer deg for at du ikke lenger vil bruke Microsoft Sentinel forekomsten som er knyttet til et Log Analytics-arbeidsområde, fjerner du Microsoft Sentinel fra arbeidsområdet. Men før du gjør det, bør du vurdere konsekvensene som er beskrevet i denne artikkelen.

Det kan ta opptil 48 timer før Microsoft Sentinel fjernes fra log analytics-arbeidsområdet. Datakoblingskonfigurasjon og Microsoft Sentinel tabeller slettes. Andre ressurser og data beholdes i en begrenset periode.

Abonnementet ditt er fortsatt registrert hos ressursleverandøren for Microsoft Sentinel. Du kan imidlertid fjerne den manuelt.

Hvis du ikke vil beholde arbeidsområdet og dataene som samles inn for Microsoft Sentinel, sletter du ressursene som er knyttet til arbeidsområdet i Azure Portal.

Prisendringer

Når Microsoft Sentinel fjernes fra et arbeidsområde, kan det fremdeles være kostnader knyttet til dataene i Azure Overvåke logganalyse. Hvis du vil ha mer informasjon om effekten av kostnader for forpliktelsesnivå, kan du se virkemåten for forenklet fakturering av avlasting.

Datakoblingskonfigurasjoner fjernet

Konfigurasjonene for følgende datakobling fjernes når du fjerner Microsoft Sentinel fra arbeidsområdet.

• Microsoft 365

• Amazon Web Services

• Sikkerhetsvarsler for Microsoft-tjenester:

  • Microsoft Defender for identitet
  • Microsoft Defender for Cloud Apps inkludert IT-rapportering for Cloud Discovery Shadow
  • Microsoft Entra ID Protection
  • Microsoft Defender for endepunkt
  • Microsoft Defender for skyen

• Trusselintelligens

• Vanlige sikkerhetslogger, inkludert CEF-baserte logger, Barracuda og Syslog. Hvis du får sikkerhetsvarsler fra Microsoft Defender for Cloud, blir disse loggene fortsatt samlet inn.

• Windows Sikkerhet hendelser. Hvis du får sikkerhetsvarsler fra Microsoft Defender for Cloud, blir disse loggene fortsatt samlet inn.

I løpet av de første 48 timene er ikke data- og analysereglene, som inkluderer automatiseringskonfigurasjon i sanntid, lenger tilgjengelige eller spørringsbare i Microsoft Sentinel.

Ressurser fjernet

Følgende ressurser fjernes etter 30 dager:

• Hendelser (inkludert undersøkelsesmetadata)

• Analyseregler

• Bokmerker

Strategiplanene, lagrede arbeidsbøker, lagrede jaktspørringer og notatblokker fjernes ikke. Noen av disse ressursene kan brytes på grunn av de fjernede dataene. Fjern disse ressursene manuelt.

Når du har fjernet tjenesten, finnes det en løpeperiode på 30 dager for å aktivere Microsoft Sentinel på nytt. Data- og analysereglene gjenopprettes, men de konfigurerte koblingene som ble koblet fra, må kobles til på nytt.

Microsoft Sentinel tabeller slettet

Når du fjerner Microsoft Sentinel fra arbeidsområdet, slettes alle Microsoft Sentinel tabeller. Dataene i disse tabellene er ikke tilgjengelige eller spørringsbare. Dataoppbevaringspolicysettet for disse tabellene gjelder imidlertid for dataene i de slettede tabellene. Så hvis du aktiverer Microsoft Sentinel på arbeidsområdet i tidsperioden for dataoppbevaring, gjenopprettes de beholdte dataene til disse tabellene.

Tabellene og relaterte data som er utilgjengelige når du fjerner Microsoft Sentinel inkludere, men ikke er begrenset til følgende tabeller:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Relaterte ressurser

• Fjern Microsoft Sentinel fra Log Analytics-arbeidsområdet
• Tavle-Microsoft Sentinel fra Defender-portalen.