Compartilhar via

Implicações da remoção do Microsoft Sentinel do seu espaço de trabalho

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Se você decidir que não deseja mais usar sua instância do Microsoft Sentinel associada a um espaço de trabalho do Log Analytics, remova o Microsoft Sentinel do espaço de trabalho. Mas antes de fazer isso, considere as implicações descritas nesse artigo.

Pode levar até 48 horas para que o Microsoft Sentinel seja removido do workspace do Log Analytics. A configuração do conector de dados e as tabelas do Microsoft Sentinel são excluídas. Outros recursos e dados são mantidos por um tempo limitado.

Sua assinatura continua sendo registrada no provedor de recursos do Microsoft Sentinel. Mas você pode removê-la manualmente.

Se você não quiser manter o espaço de trabalho e os dados coletados para o Microsoft Sentinel, exclua os recursos associados ao espaço de trabalho no portal do Azure.

Mudanças de preços

Quando o Microsoft Sentinel é removido de um workspace, ainda pode haver custos associados aos dados no Log Analytics do Azure Monitor. Para obter mais informações sobre o efeito nos custos do nível de compromisso, confira Comportamento simplificado da remoção da cobrança.

Configurações do conector de dados removidas

As configurações do conector de dados a seguir são removidas quando você remove o Microsoft Sentinel do seu workspace.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de segurança dos serviços da Microsoft:

    • Microsoft Defender para Identidade
    • Microsoft Defender para Aplicativos de Nuvem, incluindo relatórios de TI do Cloud Discovery Shadow
    • Proteção de Identidade do Microsoft Entra
    • Microsoft Defender para ponto de extremidade
    • Microsoft Defender para Nuvem

  • Inteligência contra ameaças

  • Logs de segurança comuns, incluindo logs baseados em CEF, Barracuda e Syslog. Se você receber alertas de segurança do Microsoft Defender para Nuvem, esses logs continuarão a ser coletados.

  • Eventos de segurança do Windows. Se você receber alertas de segurança do Microsoft Defender para Nuvem, esses logs continuarão a ser coletados.

Nas primeiras 48 horas, as regras analíticas e de dados, que incluem a configuração da automação em tempo real, não podem mais ser acessadas nem consultadas no Microsoft Sentinel.

Recursos removidos

Os seguintes recursos são removidos após 30 dias:

  • Incidentes (incluindo metadados de investigação)

  • Regras de análise

  • Indicadores

Os guias estratégicos, as pastas de trabalho salvas, as consultas de busca salvas e os notebooks não são removidos. Alguns desses recursos podem ser interrompidos devido aos dados removidos. Remova esses recursos manualmente.

Depois de remover o serviço, há um período de carência de 30 dias para reabilitar o Microsoft Sentinel. Suas regras de análise e dados são restauradas, mas os conectores configurados que foram desconectados devem ser reconectados.

Tabelas do Microsoft Sentinel excluídas

Quando você remove o Microsoft Sentinel do seu workspace, todas as tabelas do Microsoft Sentinel são excluídas. Os dados nessas tabelas não serão acessíveis nem poderão ser consultados. Porém, o conjunto de políticas de retenção de dados para essas tabelas se aplica aos dados nas tabelas excluídas. Portanto, se você reabilitar o Microsoft Sentinel no workspace dentro do período de retenção de dados, os dados retidos serão restaurados para essas tabelas.

As tabelas e os dados relacionados que estão inacessíveis quando você remove o Microsoft Sentinel incluem, mas não estão limitados às seguintes tabelas:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on