Log Analytics ワークスペースに関連付けられているMicrosoft Sentinel インスタンスを使用しなくなった場合は、ワークスペースからMicrosoft Sentinelを削除します。 ただし、その前に、この記事で説明されている影響を検討してください。
Microsoft Sentinelが Log Analytics ワークスペースから削除されるまでに最大 48 時間かかることがあります。 データ コネクタの構成とMicrosoft Sentinelテーブルが削除されます。 その他のリソースとデータは、一定期間保持されます。
サブスクリプションは引き続き Microsoft Sentinel リソース プロバイダーに登録されます。 ただし、手動で削除することはできます。
ワークスペースとMicrosoft Sentinelのために収集されたデータを保持しない場合は、Azure portal内のワークスペースに関連付けられているリソースを削除します。
価格の変更
ワークスペースからMicrosoft Sentinelが削除された場合でも、Azure Monitor Log Analytics のデータに関連するコストが発生する可能性があります。 コミットメント レベルのコストへの影響の詳細については、「 簡素化された課金オフボード動作」を参照してください。
データ コネクタの構成が削除されました
ワークスペースからMicrosoft Sentinelを削除すると、次のデータ コネクタの構成が削除されます。
Microsoft 365
Amazon Web Services
Microsoft サービスのセキュリティ アラート:
- Microsoft Defender for Identity
- Cloud Discovery Shadow IT レポートを含むMicrosoft Defender for Cloud Apps
- Microsoft Entra ID 保護
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud
脅威インテリジェンス
CEF ベースのログ、Barracuda、Syslog などの一般的なセキュリティ ログ。 cloud のMicrosoft Defenderからセキュリティ アラートを受け取った場合、これらのログは引き続き収集されます。
Windows セキュリティ イベント。 cloud のMicrosoft Defenderからセキュリティ アラートを受け取った場合、これらのログは引き続き収集されます。
最初の 48 時間以内に、リアルタイムオートメーション構成を含むデータと分析ルールは、Microsoft Sentinelでアクセスできなくなり、クエリを実行できなくなります。
削除されたリソース
次のリソースは、30 日後に削除されます。
インシデント (調査メタデータを含む)
分析ルール
ブックマーク
プレイブック、保存されたブック、保存されたハンティング クエリ、ノートブックは削除されません。 これらのリソースの一部は、削除されたデータのために破損する可能性があります。 これらのリソースを手動で削除します。
サービスを削除した後、Microsoft Sentinelを再度有効にするには、30 日間の猶予期間があります。 データと分析のルールは復元されますが、切断された構成済みのコネクタは再接続する必要があります。
削除されたテーブルMicrosoft Sentinel
ワークスペースからMicrosoft Sentinelを削除すると、すべてのMicrosoft Sentinelテーブルが削除されます。 これらのテーブル内のデータにアクセスしたり、クエリを実行したりすることはできません。 ただし、これらのテーブルのデータ保持ポリシー セットは、削除されたテーブル内のデータに適用されます。 そのため、データ保持期間内にワークスペースでMicrosoft Sentinelを再度有効にすると、保持されたデータがそれらのテーブルに復元されます。
削除時にアクセスできないテーブルと関連データMicrosoft Sentinel含まれますが、次のテーブルに限定されません。
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent