Implicaciones de quitar Microsoft Sentinel del área de trabajo

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Si decide que ya no quiere usar la instancia de Microsoft Sentinel asociada a un área de trabajo de Log Analytics, quite Microsoft Sentinel del área de trabajo. Pero antes de hacerlo, tenga en cuenta las implicaciones descritas en este artículo.

Los Microsoft Sentinel pueden tardar hasta 48 horas en quitarse del área de trabajo de Log Analytics. Se eliminan la configuración del conector de datos y las tablas de Microsoft Sentinel. Otros recursos y datos se conservan durante un tiempo limitado.

La suscripción sigue registrándose con el proveedor de recursos de Microsoft Sentinel. Pero puede quitarlo manualmente.

Si no desea mantener el área de trabajo y los datos recopilados para Microsoft Sentinel, elimine los recursos asociados al área de trabajo en el Azure Portal.

Cambios en los precios

Cuando se quita Microsoft Sentinel de un área de trabajo, es posible que todavía haya costos asociados a los datos de Azure Monitor Log Analytics. Para obtener más información sobre el efecto en los costos del nivel de compromiso, consulte Comportamiento simplificado de la eliminación de facturación.

Configuraciones del conector de datos eliminadas

Las configuraciones del siguiente conector de datos se quitan al quitar Microsoft Sentinel del área de trabajo.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de seguridad de servicios de Microsoft:

    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps incluidos los informes de Cloud Discovery Shadow IT
    • Protección de Microsoft Entra ID
    • Microsoft Defender para punto de conexión
    • Microsoft Defender for Cloud

  • Inteligencia sobre amenazas

  • Registros de seguridad comunes, incluidos los registros basados en CEF, Barracuda y Syslog. Si recibe alertas de seguridad de Microsoft Defender for Cloud, estos registros se seguirán recopilando.

  • eventos de Seguridad de Windows. Si recibe alertas de seguridad de Microsoft Defender for Cloud, estos registros se seguirán recopilando.

En las primeras 48 horas, las reglas de datos y análisis, que incluyen la configuración de automatización en tiempo real, ya no son accesibles ni se pueden consultar en Microsoft Sentinel.

Recursos quitados

Los siguientes recursos se quitan después de 30 días:

  • Incidentes (incluidos los metadatos de investigación)

  • Reglas de análisis

  • Bookmarks

Los cuadernos de estrategias, los libros guardados, las consultas de búsqueda guardadas y los cuadernos no se quitan. Algunos de estos recursos pueden interrumpirse debido a los datos quitados. Quite esos recursos manualmente.

Después de quitar el servicio, hay un período de gracia de 30 días para volver a habilitar Microsoft Sentinel. Se restauran las reglas de datos y análisis, pero los conectores configurados que se desconectaron deben volver a conectarse.

Microsoft Sentinel tablas eliminadas

Al quitar Microsoft Sentinel del área de trabajo, se eliminan todas las tablas Microsoft Sentinel. Los datos de estas tablas no son accesibles ni se pueden consultar. Sin embargo, el conjunto de directivas de retención de datos para esas tablas se aplica a los datos de las tablas eliminadas. Por lo tanto, si vuelve a habilitar Microsoft Sentinel en el área de trabajo dentro del período de tiempo de retención de datos, los datos retenidos se restauran en esas tablas.

Las tablas y los datos relacionados a los que no se puede acceder al quitar Microsoft Sentinel incluyen, entre otras, las tablas siguientes:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on