拿掉工作區Microsoft Sentinel 的影響

如果您決定不想再使用與 Log Analytics 工作區相關聯的Microsoft Sentinel 實例，請從工作區中移除Microsoft Sentinel。 但在進行之前，請考慮本文所述的含意。

最多可能需要 48 小時，Microsoft Sentinel 才會從 Log Analytics 工作區中移除。 刪除數據連接器組態和Microsoft Sentinel 數據表。 其他資源和數據會保留一段時間。

您的訂用帳戶會繼續向 Microsoft Sentinel 資源提供者註冊。 但是，您可以手動移除它。

如果您不想要保留工作區和針對 Microsoft Sentinel 收集的數據，請刪除 Azure 入口網站 中與工作區相關聯的資源。

價格變更

Microsoft Sentinel 從工作區中移除時，仍可能會有與 Azure 監視器 Log Analytics 中的數據相關聯的成本。 如需承諾層成本影響的詳細資訊，請參閱 簡化計費下架行為。

已移除資料連接器組態

當您從工作區中移除 sentinel Microsoft時，會移除下列數據連接器的組態。

• Microsoft 365

• Amazon Web Services

• Microsoft 服務 安全性警示：

  • 適用於身分識別的 Microsoft Defender
  • 適用於雲端的 Microsoft Defender 應用程式，包括 Cloud Discovery Shadow IT 報告
  • 微軟 Entra 身分識別保護
  • 適用於端點的 Microsoft Defender
  • 適用於雲端的 Microsoft Defender

• 威脅情報

• 常見的安全性記錄，包括 CEF 型記錄、Barracuda 和 Syslog。 如果您從 適用於雲端的 Microsoft Defender 取得安全性警示，則會繼續收集這些記錄。

• Windows 安全性事件。 如果您從 適用於雲端的 Microsoft Defender 取得安全性警示，則會繼續收集這些記錄。

在前 48 小時內，包含即時自動化設定的數據和分析規則在 Sentinel Microsoft 中無法再存取或查詢。

已移除資源

下列資源會在 30 天后移除：

• 事件（包括調查元資料）

• Analytics 規則

• 書籤

不會移除您的劇本、已儲存的活頁簿、儲存的搜捕查詢和筆記本。 部分資源可能會因為移除的數據而中斷。 手動移除這些資源。

拿掉服務之後，有 30 天的寬限期可重新啟用 Microsoft Sentinel。 您的數據和分析規則會還原，但已中斷連線的已設定連接器必須重新連線。

已刪除Microsoft Sentinel 數據表

當您從工作區移除Microsoft Sentinel 時，會刪除所有Microsoft Sentinel 數據表。 這些數據表中的數據無法存取或可查詢。 但是，針對這些數據表所設定的數據保留原則會套用至已刪除數據表中的數據。 因此，如果您在數據保留期間內重新啟用工作區上的Microsoft Sentinel，則會將保留的數據還原至這些數據表。

當您移除 sentinel 包含Microsoft時無法存取的數據表和相關數據，但不限於下列數據表：

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

相關資源

• 從 Log Analytics 工作區移除 Microsoft Sentinel
• 從 Defender 入口網站下線Microsoft Sentinel。