Auswirkungen des Entfernens von Microsoft Sentinel aus Ihrem Arbeitsbereich

Wenn Sie ihre Microsoft Sentinel instance, die einem Log Analytics-Arbeitsbereich zugeordnet sind, nicht mehr verwenden möchten, entfernen Sie Microsoft Sentinel aus dem Arbeitsbereich. Bevor Sie dies tun, sollten Sie jedoch die in diesem Artikel beschriebenen Auswirkungen berücksichtigen.

Es kann bis zu 48 Stunden dauern, bis Microsoft Sentinel aus dem Log Analytics-Arbeitsbereich entfernt werden. Die Datenconnectorkonfiguration und Microsoft Sentinel Tabellen werden gelöscht. Andere Ressourcen und Daten werden für einen begrenzten Zeitraum aufbewahrt.

Ihr Abonnement wird weiterhin beim Microsoft Sentinel-Ressourcenanbieter registriert. Sie können es jedoch manuell entfernen.

Wenn Sie den Arbeitsbereich und die für Microsoft Sentinel gesammelten Daten nicht beibehalten möchten, löschen Sie die dem Arbeitsbereich zugeordneten Ressourcen im Azure-Portal.

Preisänderungen

Wenn Microsoft Sentinel aus einem Arbeitsbereich entfernt wird, fallen möglicherweise weiterhin Kosten für die Daten in Azure Monitor Log Analytics an. Weitere Informationen zu den Auswirkungen auf die Kosten des Mindestabnahmetarifs finden Sie unter Vereinfachtes Offboardingverhalten der Abrechnung.

Datenconnectorkonfigurationen entfernt

Die Konfigurationen für den folgenden Datenconnector werden entfernt, wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen.

• Microsoft 365

• Amazon Web Services

• Sicherheitswarnungen für Microsoft-Dienste:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps einschließlich Schatten-IT-Berichterstellung in Cloud Discovery
  • Microsoft Entra ID Protection
  • Microsoft Defender für Endpunkt
  • Microsoft Defender für Cloud

• Threat Intelligence

• Allgemeine Sicherheitsprotokolle, einschließlich CEF-basierten Protokollen, Barracuda und Syslog. Wenn Sie Sicherheitswarnungen von Microsoft Defender für Cloud erhalten, werden diese Protokolle weiterhin gesammelt.

• Windows-Sicherheit-Ereignisse. Wenn Sie Sicherheitswarnungen von Microsoft Defender für Cloud erhalten, werden diese Protokolle weiterhin gesammelt.

Innerhalb der ersten 48 Stunden sind die Daten- und Analyseregeln, die die Echtzeitautomatisierungskonfiguration enthalten, in Microsoft Sentinel nicht mehr zugänglich oder abfragbar.

Entfernte Ressourcen

Die folgenden Ressourcen werden nach 30 Tagen entfernt:

• Incidents (einschließlich Untersuchungsmetadaten)

• Analyseregeln

• Lesezeichen

Ihre Playbooks, gespeicherten Arbeitsmappen, gespeicherten Huntingabfragen und Notizbücher werden nicht entfernt. Einige dieser Ressourcen können aufgrund der entfernten Daten unterbrochen werden. Entfernen Sie diese Ressourcen manuell.

Nachdem Sie den Dienst entfernt haben, gibt es eine Toleranzperiode von 30 Tagen, um Microsoft Sentinel wieder zu aktivieren. Ihre Daten- und Analyseregeln werden wiederhergestellt, aber die konfigurierten Connectors, die getrennt wurden, müssen wiederhergestellt werden.

Microsoft Sentinel gelöschter Tabellen

Wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen, werden alle Microsoft Sentinel Tabellen gelöscht. Auf die Daten in diesen Tabellen kann nicht zugegriffen oder abfragt werden. Die für diese Tabellen festgelegte Datenaufbewahrungsrichtlinie gilt jedoch für die Daten in den gelöschten Tabellen. Wenn Sie also Microsoft Sentinel für den Arbeitsbereich innerhalb des Datenaufbewahrungszeitraums erneut aktivieren, werden die aufbewahrten Daten in diesen Tabellen wiederhergestellt.

Die Tabellen und zugehörigen Daten, auf die nicht zugegriffen werden kann, wenn Sie Microsoft Sentinel entfernen, enthalten die folgenden Tabellen, sind jedoch nicht auf die folgenden Tabellen beschränkt:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Verwandte Ressourcen

• Entfernen Microsoft Sentinel aus Ihrem Log Analytics-Arbeitsbereich
• Offboarden von Microsoft Sentinel aus dem Defender-Portal.