你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从工作区中移除 Microsoft Sentinel 的影响

• 适用于:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

如果决定不再想要使用与 Log Analytics 工作区关联的 Microsoft Sentinel 实例，请从工作区中移除 Microsoft Sentinel。 但在操作之前，请考虑本文中所述的影响。

从 Log Analytics 工作区中删除 Microsoft Sentinel 最多可能需要 48 小时。 数据连接器配置和 Microsoft Sentinel 表将被删除。 其他资源和数据将保留一段有限的时间。

你的订阅将继续注册到 Microsoft Sentinel 资源提供程序。 但可以手动将其删除。

如果不想保留工作区和为 Microsoft Sentinel 收集的数据，请删除与 Azure 门户中的工作区关联的资源。

定价更改

从工作区中移除 Microsoft Sentinel 后，可能仍存在与 Azure Monitor Log Analytics 中的数据相关的成本。 若要详细了解对承诺层级成本的影响，请参阅简化计费登出行为。

删除数据连接器配置

从工作区中删除 Microsoft Sentinel 后，会删除以下数据连接器的配置。

• Microsoft 365

• Amazon Web Services

• Microsoft 服务安全警报：

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud 应用程序，包括 Cloud Discovery Shadow IT 报告
  • Microsoft Entra ID 保护
  • 用于终结点的 Microsoft Defender
  • Microsoft Defender for Cloud

• 威胁智能

• 常见的安全日志，包括基于 CEF 的日志、Barracuda 和 Syslog。 如果从 Microsoft Defender for Cloud 收到安全警报，则将继续收集这些日志。

• Windows 安全事件。 如果从 Microsoft Defender for Cloud 收到安全警报，则将继续收集这些日志。

在最初的 48 小时内，将不再能够在 Microsoft Sentinel 中访问或查询数据和分析规则（包括实时自动化配置）。

删除资源

以下资源在 30 天后被删除：

• 事件（包括调查元数据）

• 分析规则

• 书签

不会删除你的 playbook、已保存的工作簿、已保存的搜寻查询和笔记本。 其中一些资源可能会因已删除的数据而损坏。 请手动删除这些资源。

移除服务后，有 30 天的宽限期，便于重启 Microsoft Sentinel。 数据和分析规则将会恢复，但已断开连接的已配置连接器必须重新连接。

删除 Microsoft Sentinel 表

从工作区中删除 Microsoft Sentinel 后，将删除所有 Microsoft Sentinel 表。 这些表中的数据将无法访问或查询。 但是，为这些表设置的数据保留策略适用于已删除表中的数据。 因此，如果在数据保留期内在工作区上重新启用 Microsoft Sentinel，保留的数据将还原到这些表中。

删除 Microsoft Sentinel 后无法访问的表和相关数据包括但不限于以下表：

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

相关资源

• 从 Log Analytics 工作区中移除 Microsoft Sentinel
• 从 Defender 门户登出 Microsoft Sentinel。