Log Analytics ワークスペースに関連付けられている Microsoft Sentinel インスタンスを使用しなくなった場合は、ワークスペースから Microsoft Sentinel を削除します。 ただし、その前に、この記事で説明されている影響を考慮してください。
Microsoft Sentinel が Log Analytics ワークスペースから削除されるまで最大 48 時間かかる場合があります。 データ コネクタの構成と Microsoft Sentinel テーブルが削除されました。 その他のリソースやデータは期間限定で保持されます。
サブスクリプションは Microsoft Sentinel リソース プロバイダーに登録されたままになります。 ただし、これは手動で削除できます。
ワークスペースとMicrosoft Sentinel 用に収集されたデータを保持しない場合は、Azure portal でワークスペースに関連付けられているリソースを削除します。
価格の変更
Microsoft Sentinel をワークスペースから削除しても、Azure Monitor Log Analytics のデータに関連するコストが発生する場合があります。 コミットメント レベルのコストへの影響の詳細については、「簡略化された課金のオフボード動作」を参照してください。
データ コネクタの構成の削除
ワークスペースから Microsoft Sentinel を削除すると、次のデータ コネクタの構成が削除されます。
Microsoft 365
アマゾン ウェブ サービス
Microsoft サービスのセキュリティ アラート:
- Microsoft Defender for Identity
- Cloud Discovery シャドウ IT レポートなどの Microsoft Defender for Cloud Apps
- Microsoft Entra ID Protection(マイクロソフト エントラ ID 保護)
- Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
- Microsoft Defender for Cloud
脅威インテリジェンス
CEF ベースのログ、Barracuda、Syslog などの一般的なセキュリティ ログ。 Microsoft Defender for Cloud からセキュリティ アラートを取得する場合、これらのログは引き続き収集されます。
Windows セキュリティ イベント。 Microsoft Defender for Cloud からセキュリティ アラートを取得する場合、これらのログは引き続き収集されます。
最初の 48 時間以内に、Microsoft Sentinel のデータと分析ルール (リアルタイム自動構成を含む) にアクセスできなくなります。また、クエリを実行できなくなります。
リソースの削除
次のリソースは、30 日後に削除されます:
インシデント (調査メタデータを含む)
分析ルール
ブックマーク
プレイブック、保存したブック、保存した検索クエリ、ノートブックは削除されません。 これらのリソースの一部は、削除したデータが原因で壊れる場合があります。 これらのリソースは手動で削除する必要があります。
サービスの削除後、Microsoft Sentinel を再有効化するための 30 日間の猶予期間があります。 データと分析のルールは復元されますが、構成されているコネクタが切断された場合、再接続する必要があります。
Microsoft Sentinel テーブルの削除
ワークスペースから Microsoft Sentinel を削除すると、すべての Microsoft Sentinel テーブルが削除されます。 これらのテーブルのデータにアクセスできなくなります。また、クエリを実行できなくなります。 ただし、これらのテーブルに設定されたデータ保持ポリシーは、削除されたテーブルのデータにも適用されます。 そのため、データ保持期間内にワークスペースで Microsoft Sentinel を再度有効にすると、保持されていたデータがそれらのテーブルに復元されます。
Microsoft Sentinel を削除するとアクセスできなくなるテーブルと関連データには、次のテーブルが含まれますが、これらに限定されません。
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent