Gevolgen van het verwijderen van Microsoft Sentinel uit uw werkruimte

Als u besluit dat u uw Microsoft Sentinel exemplaar dat is gekoppeld aan een Log Analytics-werkruimte niet meer wilt gebruiken, verwijdert u Microsoft Sentinel uit de werkruimte. Maar voordat u dit doet, moet u rekening houden met de gevolgen die in dit artikel worden beschreven.

Het kan tot 48 uur duren voordat Microsoft Sentinel uit de Log Analytics-werkruimte is verwijderd. Configuratie van gegevensconnector en Microsoft Sentinel tabellen worden verwijderd. Andere resources en gegevens worden gedurende een beperkte tijd bewaard.

Uw abonnement blijft geregistreerd bij de Microsoft Sentinel resourceprovider. U kunt deze echter handmatig verwijderen.

Als u de werkruimte en de verzamelde gegevens voor Microsoft Sentinel niet wilt behouden, verwijdert u de resources die zijn gekoppeld aan de werkruimte in de Azure Portal.

Prijswijzigingen

Wanneer Microsoft Sentinel uit een werkruimte wordt verwijderd, zijn er mogelijk nog steeds kosten verbonden aan de gegevens in Azure Log Analytics bewaken. Zie Vereenvoudigde facturerings-offboarding-gedrag voor meer informatie over het effect op de kosten van de toezeggingslaag.

Configuraties van gegevensconnector verwijderd

De configuraties voor de volgende gegevensconnector worden verwijderd wanneer u Microsoft Sentinel uit uw werkruimte verwijdert.

• Microsoft 365

• Amazon Web Services

• Beveiligingswaarschuwingen voor Microsoft-services:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps inclusief Cloud Discovery Shadow IT-rapportage
  • Microsoft Entra ID Protection
  • Microsoft Defender voor Eindpunt
  • Microsoft Defender voor Cloud

• Bedreigingsinformatie

• Algemene beveiligingslogboeken, waaronder op CEF gebaseerde logboeken, Barracuda en Syslog. Als u beveiligingswaarschuwingen ontvangt van Microsoft Defender voor Cloud, worden deze logboeken nog steeds verzameld.

• Windows-beveiliging gebeurtenissen. Als u beveiligingswaarschuwingen ontvangt van Microsoft Defender voor Cloud, worden deze logboeken nog steeds verzameld.

Binnen de eerste 48 uur zijn de gegevens- en analyseregels, waaronder realtime automatiseringsconfiguratie, niet langer toegankelijk of kunnen er geen query's meer op worden uitgevoerd in Microsoft Sentinel.

Resources verwijderd

De volgende resources worden na 30 dagen verwijderd:

• Incidenten (inclusief onderzoeksmetagegevens)

• Analyseregels

• Bladwijzers

Uw playbooks, opgeslagen werkmappen, opgeslagen opsporingsquery's en notebooks worden niet verwijderd. Sommige van deze resources kunnen worden verbroken vanwege de verwijderde gegevens. Verwijder deze resources handmatig.

Nadat u de service hebt verwijderd, is er een respijtperiode van 30 dagen om Microsoft Sentinel opnieuw in te schakelen. Uw gegevens- en analyseregels worden hersteld, maar de geconfigureerde connectors die zijn losgekoppeld, moeten opnieuw worden verbonden.

Microsoft Sentinel tabellen verwijderd

Wanneer u Microsoft Sentinel uit uw werkruimte verwijdert, worden alle Microsoft Sentinel tabellen verwijderd. De gegevens in deze tabellen zijn niet toegankelijk of kunnen niet worden opgevraagd. Het gegevensretentiebeleid dat voor deze tabellen is ingesteld, is echter van toepassing op de gegevens in de verwijderde tabellen. Dus als u Microsoft Sentinel opnieuw inschakelt in de werkruimte binnen de periode voor gegevensretentie, worden de bewaarde gegevens teruggezet naar die tabellen.

De tabellen en gerelateerde gegevens die niet toegankelijk zijn wanneer u Microsoft Sentinel verwijderen, omvatten maar zijn niet beperkt tot de volgende tabellen:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Verwante informatiebronnen

• Microsoft Sentinel verwijderen uit uw Log Analytics-werkruimte
• Offboard Microsoft Sentinel vanuit de Defender-portal.