Implikacje usuwania Microsoft Sentinel z obszaru roboczego

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jeśli zdecydujesz, że nie chcesz już używać wystąpienia Microsoft Sentinel skojarzonego z obszarem roboczym usługi Log Analytics, usuń Microsoft Sentinel z obszaru roboczego. Zanim jednak to zrobisz, rozważ implikacje opisane w tym artykule.

Usunięcie Microsoft Sentinel z obszaru roboczego usługi Log Analytics może potrwać do 48 godzin. Konfiguracja łącznika danych i tabele Microsoft Sentinel są usuwane. Inne zasoby i dane są przechowywane przez ograniczony czas.

Twoja subskrypcja jest nadal zarejestrowana u dostawcy zasobów Microsoft Sentinel. Można go jednak usunąć ręcznie.

Jeśli nie chcesz przechowywać obszaru roboczego i danych zebranych dla Microsoft Sentinel, usuń zasoby skojarzone z obszarem roboczym w Azure Portal.

Zmiany cen

Po usunięciu Microsoft Sentinel z obszaru roboczego mogą nadal występować koszty związane z danymi w usłudze Azure Monitor Log Analytics. Aby uzyskać więcej informacji na temat wpływu na koszty warstwy zobowiązania, zobacz Uproszczone zachowanie związane z odłączaniem rozliczeń.

Usunięto konfiguracje łącznika danych

Konfiguracje dla następującego łącznika danych są usuwane po usunięciu Microsoft Sentinel z obszaru roboczego.

  • Microsoft 365

  • Amazon Web Services

  • Alerty zabezpieczeń usług firmy Microsoft:

    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps w tym raportowanie it w tle rozwiązania Cloud Discovery
    • ochrona Microsoft Entra ID
    • Ochrona punktu końcowego w usłudze Microsoft Defender
    • Microsoft Defender for Cloud

  • Analiza zagrożeń

  • Typowe dzienniki zabezpieczeń, w tym dzienniki oparte na formacie CEF, Barracuda i Syslog. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla chmury, te dzienniki będą nadal zbierane.

  • zdarzenia Zabezpieczenia Windows. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla chmury, te dzienniki będą nadal zbierane.

W ciągu pierwszych 48 godzin reguły danych i analiz, które obejmują konfigurację automatyzacji w czasie rzeczywistym, nie są już dostępne ani dostępne do wykonywania zapytań w Microsoft Sentinel.

Usunięto zasoby

Następujące zasoby są usuwane po 30 dniach:

  • Zdarzenia (w tym metadane badania)

  • Reguły analizy

  • Zakładki

Podręczniki, zapisane skoroszyty, zapisane zapytania wyszukiwania zagrożeń i notesy nie są usuwane. Niektóre z tych zasobów mogą ulec przerwaniu z powodu usuniętych danych. Usuń te zasoby ręcznie.

Po usunięciu usługi istnieje okres prolongaty wynoszący 30 dni, aby ponownie włączyć Microsoft Sentinel. Reguły danych i analizy zostaną przywrócone, ale skonfigurowane łączniki, które zostały odłączone, muszą zostać ponownie połączone.

Microsoft Sentinel usunięte tabele

Po usunięciu Microsoft Sentinel z obszaru roboczego wszystkie tabele Microsoft Sentinel zostaną usunięte. Dane w tych tabelach nie są dostępne ani nie umożliwiają wykonywania zapytań. Jednak zestaw zasad przechowywania danych dla tych tabel ma zastosowanie do danych w usuniętych tabelach. Dlatego jeśli ponownie włączysz Microsoft Sentinel w obszarze roboczym w okresie przechowywania danych, zachowane dane zostaną przywrócone do tych tabel.

Tabele i powiązane dane, które są niedostępne po usunięciu Microsoft Sentinel obejmują, ale nie są ograniczone do następujących tabel:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on