Partilhar via

Implicações da remoção de Microsoft Sentinel da área de trabalho

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Se decidir que já não quer utilizar a sua instância de Microsoft Sentinel associada a uma área de trabalho do Log Analytics, remova Microsoft Sentinel da área de trabalho. No entanto, antes de o fazer, considere as implicações descritas neste artigo.

Pode demorar até 48 horas para que Microsoft Sentinel sejam removidas da área de trabalho do Log Analytics. A configuração do conector de dados e as tabelas Microsoft Sentinel são eliminadas. Outros recursos e dados são retidos por um período de tempo limitado.

A sua subscrição continua a ser registada no fornecedor de recursos Microsoft Sentinel. No entanto, pode removê-lo manualmente.

Se não quiser manter a área de trabalho e os dados recolhidos para Microsoft Sentinel, elimine os recursos associados à área de trabalho no portal do Azure.

Alterações de preços

Quando Microsoft Sentinel é removido de uma área de trabalho, ainda poderão existir custos associados aos dados no Azure Monitor Log Analytics. Para obter mais informações sobre o efeito nos custos do escalão de alocação, veja Simplified billing offboarding behavior (Comportamento simplificado da exclusão da faturação).

Configurações do conector de dados removidas

As configurações do seguinte conector de dados são removidas quando remove Microsoft Sentinel da área de trabalho.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de segurança dos serviços Microsoft:

    • Microsoft Defender para Identidade
    • Microsoft Defender for Cloud Apps incluindo relatórios de TI Sombra da Cloud Discovery
    • Proteção Microsoft Entra ID
    • Microsoft Defender para Endpoint
    • Microsoft Defender para a Cloud

  • Informações sobre Ameaças

  • Registos de segurança comuns, incluindo registos baseados em CEF, Barracuda e Syslog. Se receber alertas de segurança do Microsoft Defender para a Cloud, estes registos continuarão a ser recolhidos.

  • Segurança do Windows Eventos. Se receber alertas de segurança do Microsoft Defender para a Cloud, estes registos continuarão a ser recolhidos.

Nas primeiras 48 horas, as regras de dados e análise, que incluem a configuração da automatização em tempo real, já não estão acessíveis ou podem ser consultadas no Microsoft Sentinel.

Recursos removidos

Os seguintes recursos são removidos após 30 dias:

  • Incidentes (incluindo metadados de investigação)

  • Regras de análise

  • Marcadores

Os manuais de procedimentos, livros guardados, consultas de investigação guardadas e blocos de notas não são removidos. Alguns destes recursos podem falhar devido aos dados removidos. Remova esses recursos manualmente.

Depois de remover o serviço, existe um período de tolerância de 30 dias para reativar Microsoft Sentinel. As regras de dados e análise são restauradas, mas os conectores configurados que foram desligados têm de ser novamente ligados.

Microsoft Sentinel tabelas eliminadas

Quando remove Microsoft Sentinel da área de trabalho, todas as tabelas Microsoft Sentinel são eliminadas. Os dados nestas tabelas não são acessíveis nem podem ser consultados. No entanto, o conjunto de políticas de retenção de dados para essas tabelas aplica-se aos dados nas tabelas eliminadas. Assim, se reativar Microsoft Sentinel na área de trabalho dentro do período de tempo de retenção de dados, os dados retidos serão restaurados para essas tabelas.

As tabelas e os dados relacionados que estão inacessíveis quando remove Microsoft Sentinel incluem, mas não estão limitados às seguintes tabelas:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on