Log Analytics 작업 영역과 연결된 Microsoft Sentinel 인스턴스를 더 이상 사용하지 않으려면 작업 영역에서 Microsoft Sentinel을 제거합니다. 하지만 그 전에 이 문서에 설명된 의미를 고려해 보세요.
Log Analytics 작업 영역에서 Microsoft Sentinel을 제거하는 데 최대 48시간이 걸릴 수 있습니다. 데이터 커넥터 구성 및 Microsoft Sentinel 테이블이 삭제됩니다. 다른 리소스 및 데이터는 제한된 시간 동안 보존됩니다.
구독은 Microsoft Sentinel 리소스 공급자에 계속 등록됩니다. 그러나 수동으로 제거할 수 있습니다.
Microsoft Sentinel에 대해 수집된 작업 영역 및 데이터를 유지하지 않으려면 Azure Portal에서 작업 영역과 연결된 리소스를 삭제합니다.
가격 책정 변경
작업 영역에서 Microsoft Sentinel을 제거하면 Azure Monitor Log Analytics의 데이터와 관련된 비용이 계속 발생할 수 있습니다. 약정 계층 비용에 미치는 영향에 대한 자세한 내용은 간소화된 청구 오프보딩 동작을 참조하세요.
데이터 커넥터 구성이 제거됨
작업 영역에서 Microsoft Sentinel을 제거하면 다음 데이터 커넥터에 대한 구성이 제거됩니다.
마이크로소프트 365
Amazon Web Services
Microsoft 서비스 보안 경고:
- ID용 Microsoft Defender
- Cloud Discovery Shadow IT 보고를 포함한 클라우드용 Microsoft Defender 앱
- Microsoft Entra ID 보호 기능
- 엔드포인트에 대한 Microsoft Defender
- 클라우드용 Microsoft Defender
위협 인텔리전스
CEF 기반 로그, Barracuda 및 Syslog를 포함한 일반적인 보안 로그입니다. 클라우드용 Microsoft Defender 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.
Windows 보안 이벤트입니다. 클라우드용 Microsoft Defender 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.
처음 48시간 이내에 실시간 자동화 구성을 포함하는 데이터 및 분석 규칙은 더 이상 Microsoft Sentinel에서 액세스할 수 없거나 쿼리할 수 없습니다.
제거된 리소스
다음 리소스는 30일 후에 제거됩니다.
인시던트(조사 메타 데이터 포함)
Analytics 규칙
책갈피
플레이북, 저장된 통합 문서, 저장된 헌팅 쿼리 및 Notebook은 제거되지 않습니다. 이러한 리소스 중 일부는 제거된 데이터로 인해 중단될 수 있습니다. 이러한 리소스를 수동으로 제거합니다.
서비스를 제거한 후 Microsoft Sentinel을 다시 사용하도록 설정하는 유예 기간은 30일입니다. 데이터 및 분석 규칙이 복원되지만 연결이 끊긴 구성된 커넥터를 다시 연결해야 합니다.
Microsoft Sentinel 테이블이 삭제됨
작업 영역에서 Microsoft Sentinel을 제거하면 모든 Microsoft Sentinel 테이블이 삭제됩니다. 이러한 테이블의 데이터에 액세스할 수 없거나 쿼리할 수 없습니다. 그러나 해당 테이블에 대해 설정된 데이터 보존 정책은 삭제된 테이블의 데이터에 적용됩니다. 따라서 데이터 보존 기간 내에 작업 영역에서 Microsoft Sentinel을 다시 사용하도록 설정하면 보존된 데이터가 해당 테이블로 복원됩니다.
Microsoft Sentinel을 제거할 때 액세스할 수 없는 테이블 및 관련 데이터에는 다음 테이블이 포함되지만 제한되지는 않습니다.
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent
관련 참고 자료
- Log Analytics 작업 영역에서 Microsoft Sentinel 제거
- Defender 포털에서 Microsoft Sentinel을 오프보딩합니다.