Condividi tramite

Implicazioni della rimozione di Microsoft Sentinel dall'area di lavoro

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Se si decide di non usare più l'istanza di Microsoft Sentinel associata a un'area di lavoro Log Analytics, rimuovere Microsoft Sentinel dall'area di lavoro. Prima di procedere, tuttavia, considerare le implicazioni descritte in questo articolo.

La rimozione di Microsoft Sentinel dall'area di lavoro Log Analytics può richiedere fino a 48 ore. La configurazione del connettore dati e le tabelle Microsoft Sentinel vengono eliminate. Altre risorse e dati vengono conservati per un periodo di tempo limitato.

La sottoscrizione continua a essere registrata con il provider di risorse Microsoft Sentinel. Tuttavia, è possibile rimuoverlo manualmente.

Se non si vuole mantenere l'area di lavoro e i dati raccolti per Microsoft Sentinel, eliminare le risorse associate all'area di lavoro nel portale di Azure.

Modifiche dei prezzi

Quando Microsoft Sentinel viene rimosso da un'area di lavoro, potrebbero essere ancora presenti costi associati ai dati in Azure Monitor Log Analytics. Per altre informazioni sull'effetto sui costi del livello di impegno, vedere Comportamento semplificato dell'offboarding della fatturazione.

Configurazioni del connettore dati rimosse

Le configurazioni per il connettore dati seguente vengono rimosse quando si rimuove Microsoft Sentinel dall'area di lavoro.

  • Microsoft 365

  • Amazon Web Services

  • Avvisi di sicurezza dei servizi Microsoft:

    • Microsoft Defender per identità
    • Microsoft Defender for Cloud Apps inclusi i report IT shadow di Cloud Discovery
    • Microsoft Entra ID Protection
    • Microsoft Defender per endpoint
    • Microsoft Defender for Cloud

  • Intelligence per le minacce

  • Log di sicurezza comuni, inclusi i log basati su CEF, Barracuda e Syslog. Se si ricevono avvisi di sicurezza da Microsoft Defender per cloud, questi log continuano a essere raccolti.

  • eventi Sicurezza di Windows. Se si ricevono avvisi di sicurezza da Microsoft Defender per cloud, questi log continuano a essere raccolti.

Entro le prime 48 ore, le regole di dati e analisi, che includono la configurazione di automazione in tempo reale, non sono più accessibili o su cui è possibile eseguire query in Microsoft Sentinel.

Risorse rimosse

Le risorse seguenti vengono rimosse dopo 30 giorni:

  • Eventi imprevisti (inclusi i metadati dell'indagine)

  • Regole di analisi

  • Segnalibri

I playbook, le cartelle di lavoro salvate, le query di ricerca salvate e i notebook non vengono rimossi. Alcune di queste risorse potrebbero interrompersi a causa dei dati rimossi. Rimuovere manualmente tali risorse.

Dopo aver rimosso il servizio, è previsto un periodo di tolleranza di 30 giorni per riabilitare Microsoft Sentinel. Le regole di analisi e dati vengono ripristinate, ma i connettori configurati disconnessi devono essere riconnessi.

Microsoft Sentinel tabelle eliminate

Quando si rimuove Microsoft Sentinel dall'area di lavoro, vengono eliminate tutte le tabelle Microsoft Sentinel. I dati in queste tabelle non sono accessibili o su cui è possibile eseguire query. Tuttavia, il set di criteri di conservazione dei dati per tali tabelle si applica ai dati nelle tabelle eliminate. Pertanto, se si riabilitare Microsoft Sentinel nell'area di lavoro entro il periodo di conservazione dei dati, i dati conservati vengono ripristinati in tali tabelle.

Le tabelle e i dati correlati che non sono accessibili quando si rimuove Microsoft Sentinel includono ma non sono limitati alle tabelle seguenti:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on