Konsekvenser av att ta bort Microsoft Sentinel från arbetsytan

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Om du inte längre vill använda din Microsoft Sentinel-instans som är associerad med en Log Analytics-arbetsyta tar du bort Microsoft Sentinel från arbetsytan. Men innan du gör det bör du överväga de konsekvenser som beskrivs i den här artikeln.

Det kan ta upp till 48 timmar innan Microsoft Sentinel tas bort från Log Analytics-arbetsytan. Konfigurationen av dataanslutningsappen och Microsoft Sentinel tabeller tas bort. Andra resurser och data behålls under en begränsad tid.

Din prenumeration fortsätter att vara registrerad hos Microsoft Sentinel resursprovidern. Men du kan ta bort den manuellt.

Om du inte vill behålla arbetsytan och de data som samlas in för Microsoft Sentinel tar du bort de resurser som är associerade med arbetsytan i Azure Portal.

Prisändringar

När Microsoft Sentinel tas bort från en arbetsyta kan det fortfarande finnas kostnader för data i Azure Övervaka Log Analytics. Mer information om effekten av kostnader för åtagandenivå finns i Förenklat beteende för avregistrering av fakturering.

Konfigurationer för dataanslutningsappar har tagits bort

Konfigurationerna för följande dataanslutning tas bort när du tar bort Microsoft Sentinel från arbetsytan.

  • Microsoft 365

  • Amazon Web Services

  • Säkerhetsaviseringar för Microsoft-tjänster:

    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps inklusive Cloud Discovery Shadow IT-rapportering
    • Microsoft Entra ID Skydd
    • Microsoft Defender för Endpoint
    • Microsoft Defender for Molnet

  • Threat Intelligence

  • Vanliga säkerhetsloggar, inklusive CEF-baserade loggar, Barracuda och Syslog. Om du får säkerhetsaviseringar från Microsoft Defender för molnet fortsätter dessa loggar att samlas in.

  • Windows-säkerhet händelser. Om du får säkerhetsaviseringar från Microsoft Defender för molnet fortsätter dessa loggar att samlas in.

Inom de första 48 timmarna är data- och analysreglerna, som omfattar automatiseringskonfiguration i realtid, inte längre tillgängliga eller frågebara i Microsoft Sentinel.

Resurser har tagits bort

Följande resurser tas bort efter 30 dagar:

  • Incidenter (inklusive undersökningsmetadata)

  • Analysregler

  • Bokmärken

Dina spelböcker, sparade arbetsböcker, sparade jaktfrågor och anteckningsböcker tas inte bort. Vissa av dessa resurser kan gå sönder på grund av borttagna data. Ta bort resurserna manuellt.

När du tar bort tjänsten finns det en respitperiod på 30 dagar för att återaktivera Microsoft Sentinel. Dina data- och analysregler återställs, men de konfigurerade anslutningsapparna som kopplades från måste återanslutas.

Microsoft Sentinel borttagna tabeller

När du tar bort Microsoft Sentinel från arbetsytan tas alla Microsoft Sentinel tabeller bort. Data i dessa tabeller är inte tillgängliga eller frågebara. Men den datakvarhållningsprincip som angetts för dessa tabeller gäller för data i de borttagna tabellerna. Så om du återaktiverar Microsoft Sentinel på arbetsytan inom datakvarhållningsperioden återställs de kvarhållna data till dessa tabeller.

Tabeller och relaterade data som inte är tillgängliga när du tar bort Microsoft Sentinel inkludera men inte begränsas till följande tabeller:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent
  • Last updated on