Delen via

Gevolgen van het verwijderen van Microsoft Sentinel uit uw werkruimte

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Als u besluit dat u uw Microsoft Sentinel-exemplaar dat is gekoppeld aan een Log Analytics-werkruimte niet meer wilt gebruiken, verwijdert u Microsoft Sentinel uit de werkruimte. Maar voordat u dit doet, moet u rekening houden met de gevolgen die in dit artikel worden beschreven.

Het kan tot 48 uur duren voordat Microsoft Sentinel uit de Log Analytics-werkruimte is verwijderd. Configuratie van gegevensconnector en Microsoft Sentinel-tabellen worden verwijderd. Andere resources en gegevens worden gedurende een beperkte tijd bewaard.

Uw abonnement blijft geregistreerd bij de Microsoft Sentinel-resourceprovider. Maar u kunt het handmatig verwijderen.

Als u de werkruimte en de gegevens die zijn verzameld voor Microsoft Sentinel niet wilt behouden, verwijdert u de resources die zijn gekoppeld aan de werkruimte in Azure Portal.

Prijswijzigingen

Wanneer Microsoft Sentinel uit een werkruimte wordt verwijderd, zijn er mogelijk nog steeds kosten verbonden aan de gegevens in Azure Monitor Log Analytics. Zie voor meer informatie over het effect op de kosten van de toezeggingslaag vereenvoudigde offboarding voor facturering.

Configuraties van gegevensconnector verwijderd

De configuraties voor de volgende gegevensconnector worden verwijderd wanneer u Microsoft Sentinel uit uw werkruimte verwijdert.

  • Microsoft 365

  • Amazon-webdiensten

  • beveiligingswaarschuwingen Microsoft-services:

    • Microsoft Defender for Identity
    • Microsoft Defender voor Cloud-apps, waaronder Cloud Discovery Shadow IT-rapportage
    • Microsoft Entra ID-beveiliging
    • Microsoft Defender voor Eindpunten
    • Microsoft Defender voor Cloud

  • Bedreigingsinformatie

  • Algemene beveiligingslogboeken, waaronder CEF-logboeken, Barracuda en Syslog. Als u beveiligingswaarschuwingen van Microsoft Defender voor Cloud ontvangt, worden deze logboeken nog steeds verzameld.

  • Windows-beveiliging gebeurtenissen. Als u beveiligingswaarschuwingen van Microsoft Defender voor Cloud ontvangt, worden deze logboeken nog steeds verzameld.

Binnen de eerste 48 uur zijn de gegevens- en analyseregels, waaronder de realtime automatiseringsconfiguratie, niet langer toegankelijk of doorzoekbaar in Microsoft Sentinel.

Resources verwijderd

De volgende resources worden na 30 dagen verwijderd:

  • Incidenten (inclusief onderzoeksmetagegevens)

  • Analyseregels

  • Bladwijzers

Uw playbooks, opgeslagen werkmappen, opgeslagen opsporingsquery's en notitieblokken worden niet verwijderd. Sommige van deze resources kunnen worden verbroken vanwege de verwijderde gegevens. Verwijder deze resources handmatig.

Nadat u de service hebt verwijderd, is er een respijtperiode van 30 dagen om Microsoft Sentinel opnieuw in te schakelen. Uw gegevens- en analyseregels worden hersteld, maar de geconfigureerde connectors die zijn losgekoppeld, moeten opnieuw worden verbonden.

Microsoft Sentinel-tabellen verwijderd

Wanneer u Microsoft Sentinel uit uw werkruimte verwijdert, worden alle Microsoft Sentinel-tabellen verwijderd. De gegevens in deze tabellen zijn niet toegankelijk of doorzoekbaar. Maar het bewaarbeleid voor gegevens dat voor deze tabellen is ingesteld, is van toepassing op de gegevens in de verwijderde tabellen. Dus als u Microsoft Sentinel opnieuw inschakelt in de werkruimte binnen de periode voor gegevensretentie, worden de bewaarde gegevens teruggezet naar deze tabellen.

De tabellen en gerelateerde gegevens die niet toegankelijk zijn wanneer u Microsoft Sentinel verwijdert, zijn opgenomen, maar zijn niet beperkt tot de volgende tabellen:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on