çalışma alanınızdan Microsoft Sentinel kaldırmanın etkileri

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Log Analytics çalışma alanıyla ilişkili Microsoft Sentinel örneğinizi artık kullanmak istemediğinize karar verirseniz, çalışma alanından Microsoft Sentinel kaldırın. Ancak bunu yapmadan önce, bu makalede açıklanan etkileri göz önünde bulundurun.

Microsoft Sentinel Log Analytics çalışma alanından kaldırılması 48 saate kadar sürebilir. Veri bağlayıcısı yapılandırması ve Microsoft Sentinel tabloları silinir. Diğer kaynaklar ve veriler sınırlı bir süre saklanır.

Aboneliğiniz Microsoft Sentinel kaynak sağlayıcısına kaydedilmeye devam eder. Ancak, el ile kaldırabilirsiniz.

Çalışma alanını ve Microsoft Sentinel için toplanan verileri korumak istemiyorsanız, Azure portal çalışma alanıyla ilişkili kaynakları silin.

Fiyatlandırma değişiklikleri

Microsoft Sentinel çalışma alanından kaldırıldığında, Log Analytics'i İzleme Azure verilerle ilişkili maliyetler yine de olabilir. Taahhüt katmanı maliyetlerinin etkisi hakkında daha fazla bilgi için bkz . Basitleştirilmiş faturalama çıkarma davranışı.

Veri bağlayıcısı yapılandırmaları kaldırıldı

Çalışma alanınızdan Microsoft Sentinel kaldırdığınızda aşağıdaki veri bağlayıcısının yapılandırmaları kaldırılır.

  • Microsoft 365

  • Amazon Web Services

  • Microsoft hizmetleri güvenlik uyarıları:

    • Kimlik için Microsoft Defender
    • Cloud Discovery Shadow BT raporlaması dahil Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Koruması
    • Uç Nokta için Microsoft Defender
    • Bulut için Microsoft Defender

  • Tehdit Analizi

  • CEF tabanlı günlükler, Barracuda ve Syslog gibi yaygın güvenlik günlükleri. Bulut için Microsoft Defender güvenlik uyarıları alırsanız bu günlükler toplanmaya devam eder.

  • olayları Windows Güvenliği. Bulut için Microsoft Defender güvenlik uyarıları alırsanız bu günlükler toplanmaya devam eder.

İlk 48 saat içinde, gerçek zamanlı otomasyon yapılandırmasını içeren veri ve analiz kuralları artık Microsoft Sentinel erişilebilir veya sorgulanamaz hale gelir.

Kaynaklar kaldırıldı

Aşağıdaki kaynaklar 30 gün sonra kaldırılır:

  • Olaylar (araştırma meta verileri dahil)

  • Analiz kuralları

  • Yer im -leri

Playbook'larınız, kaydedilmiş çalışma kitaplarınız, kaydedilmiş avlanma sorgularınız ve not defterleriniz kaldırılmaz. Kaldırılan veriler nedeniyle bu kaynaklardan bazıları bozulabilir. Bu kaynakları el ile kaldırın.

Hizmeti kaldırdıktan sonra, Microsoft Sentinel yeniden etkinleştirmek için 30 günlük bir yetkisiz kullanım süresi vardır. Veri ve analiz kurallarınız geri yüklenir, ancak bağlantısı kesilmiş yapılandırılmış bağlayıcıların yeniden bağlanması gerekir.

Microsoft Sentinel tabloları silindi

çalışma alanınızdan Microsoft Sentinel kaldırdığınızda, tüm Microsoft Sentinel tablolar silinir. Bu tablolardaki verilere erişilemez veya sorgulanamaz. Ancak, bu tablolar için ayarlanan veri saklama ilkesi silinen tablolardaki veriler için geçerlidir. Bu nedenle, veri saklama süresi içinde çalışma alanında Microsoft Sentinel yeniden etkinleştirirseniz, tutulan veriler bu tablolara geri yüklenir.

Microsoft Sentinel kaldırdığınızda erişilemeyen tablolar ve ilgili veriler aşağıdaki tabloları içerir ancak bunlarla sınırlı değildir:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on