Implikacje dotyczące usuwania usługi Microsoft Sentinel z obszaru roboczego

Jeśli zdecydujesz, że nie chcesz już używać wystąpienia usługi Microsoft Sentinel skojarzonego z obszarem roboczym usługi Log Analytics, usuń usługę Microsoft Sentinel z obszaru roboczego. Jednak zanim to zrobisz, rozważ implikacje opisane w tym artykule.

Usunięcie usługi Microsoft Sentinel z obszaru roboczego usługi Log Analytics może potrwać do 48 godzin. Konfiguracja łącznika danych i tabele usługi Microsoft Sentinel są usuwane. Inne zasoby i dane są przechowywane przez ograniczony czas.

Twoja subskrypcja będzie nadal zarejestrowana u dostawcy zasobów usługi Microsoft Sentinel. Można go jednak usunąć ręcznie.

Jeśli nie chcesz przechowywać obszaru roboczego i danych zebranych dla usługi Microsoft Sentinel, usuń zasoby skojarzone z obszarem roboczym w witrynie Azure Portal.

Zmiany cen

Gdy usługa Microsoft Sentinel zostanie usunięta z obszaru roboczego, nadal mogą istnieć koszty związane z danymi w usłudze Azure Monitor Log Analytics. Aby uzyskać więcej informacji na temat wpływu na koszty poziomu zobowiązania, zobacz Uproszczone zachowanie wyłączania rozliczeń.

Usunięte konfiguracje łącznika danych

Konfiguracje następującego łącznika danych są usuwane po usunięciu usługi Microsoft Sentinel z obszaru roboczego.

• Microsoft 365

• Amazon Web Services

• usługi firmy Microsoft alerty zabezpieczeń:

  • Microsoft Defender for Identity
  • Microsoft Defender dla Chmury aplikacje, w tym raportowanie IT w tle rozwiązania Cloud Discovery
  • Microsoft Entra ID — ochrona
  • Usługa Microsoft Defender dla punktu końcowego
  • Microsoft Defender for Cloud

• Analiza zagrożeń

• Typowe dzienniki zabezpieczeń, w tym dzienniki oparte na formacie CEF, Barracuda i Syslog. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla Chmury, te dzienniki będą nadal zbierane.

• Zabezpieczenia Windows Zdarzenia. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla Chmury, te dzienniki będą nadal zbierane.

W ciągu pierwszych 48 godzin reguły danych i analizy, które obejmują konfigurację automatyzacji w czasie rzeczywistym, nie są już dostępne ani możliwe do wykonywania zapytań w usłudze Microsoft Sentinel.

Usunięte zasoby

Następujące zasoby zostaną usunięte po upływie 30 dni:

• Zdarzenia (w tym metadane badania)

• Reguły analizy

• Zakładki

Podręczniki, zapisane skoroszyty, zapisane zapytania wyszukiwania zagrożeń i notesy nie są usuwane. Niektóre z tych zasobów mogą zostać przerwane z powodu usuniętych danych. Usuń te zasoby ręcznie.

Po usunięciu usługi okres prolongaty wynosi 30 dni, aby ponownie włączyć usługę Microsoft Sentinel. Reguły danych i analizy są przywracane, ale skonfigurowane łączniki, które zostały rozłączone, muszą zostać ponownie połączone.

Usunięte tabele usługi Microsoft Sentinel

Po usunięciu usługi Microsoft Sentinel z obszaru roboczego wszystkie tabele usługi Microsoft Sentinel zostaną usunięte. Dane w tych tabelach nie są dostępne ani możliwe do wykonywania zapytań. Jednak zasady przechowywania danych ustawione dla tych tabel mają zastosowanie do danych w usuniętych tabelach. Dlatego jeśli ponownie włączysz usługę Microsoft Sentinel w obszarze roboczym w okresie przechowywania danych, zachowane dane zostaną przywrócone do tych tabel.

Tabele i powiązane dane, które są niedostępne podczas usuwania usługi Microsoft Sentinel, obejmują, ale nie są ograniczone do następujących tabel:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Powiązane zasoby

• Usuwanie usługi Microsoft Sentinel z obszaru roboczego usługi Log Analytics
• Odłącz Microsoft Sentinel z portalu usługi Defender.