Implications de la suppression de Microsoft Sentinel de votre espace de travail

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Si vous décidez de ne plus utiliser votre Microsoft Sentinel instance associée à un espace de travail Log Analytics, supprimez Microsoft Sentinel de l’espace de travail. Mais avant de le faire, tenez compte des implications décrites dans cet article.

La suppression de Microsoft Sentinel de l’espace de travail Log Analytics peut prendre jusqu’à 48 heures. La configuration du connecteur de données et les tables Microsoft Sentinel sont supprimées. Les autres ressources et données sont conservées pendant une durée limitée.

Votre abonnement continue d’être inscrit auprès du fournisseur de ressources Microsoft Sentinel. Mais vous pouvez le supprimer manuellement.

Si vous ne souhaitez pas conserver l’espace de travail et les données collectées pour Microsoft Sentinel, supprimez les ressources associées à l’espace de travail dans le Portail Azure.

Changements de tarification

Lorsque Microsoft Sentinel est supprimé d’un espace de travail, les données peuvent toujours être associées à Azure Monitor Log Analytics. Pour plus d’informations sur l’effet sur les coûts du niveau d’engagement, consultez Comportement de désintégrage de facturation simplifié.

Configurations du connecteur de données supprimées

Les configurations du connecteur de données suivant sont supprimées lorsque vous supprimez Microsoft Sentinel de votre espace de travail.

  • Microsoft 365

  • Amazon Web Services

  • Alertes de sécurité des services Microsoft :

    • Microsoft Defender pour l’identité
    • Microsoft Defender for Cloud Apps y compris les rapports Cloud Discovery Shadow IT
    • Protection Microsoft Entra ID
    • Microsoft Defender pour point de terminaison
    • Microsoft Defender pour le cloud

  • Threat Intelligence

  • Journaux de sécurité courants, notamment les journaux cef, Barracuda et Syslog. Si vous recevez des alertes de sécurité de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.

  • événements Sécurité Windows. Si vous recevez des alertes de sécurité de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.

Au cours des 48 premières heures, les règles de données et d’analyse, qui incluent la configuration de l’automatisation en temps réel, ne sont plus accessibles ni interrogeables dans Microsoft Sentinel.

Ressources supprimées

Les ressources suivantes sont supprimées après 30 jours :

  • Incidents (y compris les métadonnées d’investigation)

  • Règles d’analyse

  • Signets

Vos playbooks, classeurs enregistrés, requêtes de chasse enregistrées et notebooks ne sont pas supprimés. Certaines de ces ressources peuvent s’interrompre en raison des données supprimées. Supprimez ces ressources manuellement.

Une fois le service supprimé, il existe une période de grâce de 30 jours pour réactiver Microsoft Sentinel. Vos règles de données et d’analyse sont restaurées, mais les connecteurs configurés qui ont été déconnectés doivent être reconnectés.

Microsoft Sentinel tables supprimées

Lorsque vous supprimez Microsoft Sentinel de votre espace de travail, toutes les tables Microsoft Sentinel sont supprimées. Les données de ces tables ne sont pas accessibles ni interrogeables. Toutefois, la stratégie de conservation des données définie pour ces tables s’applique aux données des tables supprimées. Par conséquent, si vous réactivez Microsoft Sentinel sur l’espace de travail pendant la période de conservation des données, les données conservées sont restaurées dans ces tables.

Les tables et les données associées qui sont inaccessibles lorsque vous supprimez Microsoft Sentinel incluent, mais ne sont pas limitées aux tables suivantes :

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on