Eliminación de Microsoft Sentinel del área de trabajo
Si ya no quiere usar Microsoft Sentinel, en este artículo se explica cómo eliminarlo del área de trabajo de Log Analytics. Revise las implicaciones de quitar Microsoft Sentinel antes de completar estos pasos.
Eliminar Microsoft Sentinel
Complete los pasos siguientes para quitar Microsoft Sentinel del área de trabajo de Log Analytics.
Para Microsoft Sentinel, en Azure Portal en Configuración, seleccione Valores.
En la página Settings (Configuración), seleccione la pestaña Settings (Configuración).
En la parte inferior de la lista, seleccione Quitar Microsoft Sentinel.
Revise la sección Saber antes de ir... y el resto de este documento cuidadosamente. Realice todas las acciones necesarias antes de continuar.
Use las casillas adecuadas para indicarnos el motivo por el que va a eliminar Microsoft Sentinel. Escriba cualquier otro detalle en el espacio proporcionado e indique si desea que Microsoft le envíe un correo electrónico en respuesta a sus comentarios.
Seleccione Quitar Microsoft Sentinel del área de trabajo.
Considerar los cambios de precios
Cuando se elimina Microsoft Sentinel de un área de trabajo, es posible que aún existan costes asociados a los datos de Azure Monitor Log Analytics. Para más información sobre el efecto en los costes de los niveles de compromiso, consulte Comportamiento simplificado de exclusión de facturación.
Implicaciones de la revisión
Microsoft Sentinel puede tardar hasta 48 horas en eliminarse del área de trabajo de Log Analytics. Se eliminarán la configuración del conector de datos y las tablas de Microsoft Sentinel. Otros recursos y datos se conservarán durante un tiempo limitado.
La suscripción seguirá registrada con el proveedor de recursos de Microsoft Sentinel. Sin embargo, puede eliminarla manualmente.
Se han eliminado las configuraciones del conector de datos
Las configuraciones del siguiente conector de datos se eliminarán al quitar Microsoft Sentinel del área de trabajo.
Microsoft 365
Amazon Web Services
Alertas de seguridad de servicios de Microsoft:
- Microsoft Defender for Identity
- Aplicaciones de Microsoft Defender for Cloud, incluidos los informes Shadow IT de Cloud Discovery
- Protección de Microsoft Entra ID
- Microsoft Defender para punto de conexión
- Microsoft Defender for Cloud
Información sobre amenazas
Registros de seguridad comunes, incluidos los registros basados en CEF, Barracuda y Syslog. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.
Eventos de seguridad de Windows. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.
Durante las primeras 48 horas, los datos y las reglas de análisis, que incluyen la configuración de la automatización en tiempo real, dejarán de ser accesibles o consultables en Microsoft Sentinel.
Recursos quitados
Los siguientes recursos se quitarán después de 30 días:
Incidentes (incluidos los metadatos de investigación)
Reglas de análisis
Marcadores
Los cuadernos de estrategias, libros guardados, consultas de búsqueda guardadas y cuadernos no se eliminan. Algunos de estos recursos podrían interrumpirse debido a los datos eliminados. Quite esos recursos manualmente.
Después de eliminar el servicio, hay un período de gracia de 30 días para volver a habilitar Microsoft Sentinel. Se restauran los datos y las reglas de análisis, pero los conectores configurados que se desconectaron deberán volver a conectarse.
Tablas de Microsoft Sentinel eliminadas
Al quitar Microsoft Sentinel del área de trabajo, se eliminan todas las tablas de Microsoft Sentinel. Los datos de estas tablas no son accesibles ni consultables. Pero la directiva de retención de datos establecida para esas tablas se aplica a los datos de las tablas eliminadas. Por lo tanto, si vuelve a habilitar Microsoft Sentinel en el área de trabajo dentro del período de tiempo de retención de datos, los datos retenidos se restauran en esas tablas.
Las tablas y los datos relacionados que no son accesibles al quitar Microsoft Sentinel incluyen, pero no se limitan a las tablas siguientes:
AlertEvidence
AlertInfo
Anomalies
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
CloudAppEvents
CommonSecurityLog
ConfidentialWatchlist
DataverseActivity
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
Dynamics365Activity
DynamicSummary
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
GCPAuditLogs
GoogleCloudSCC
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
LinuxAuditLog
McasShadowItReporting
MicrosoftPurviewInformationProtection
NetworkSessions
OfficeActivity
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
SecurityAlert
SecurityEvent
SecurityIncident
SentinelAudit
SentinelHealth
ThreatIntelligenceIndicator
UrlClickEvents
Watchlist
WindowsEvent
Pasos siguientes
En este documento, ha aprendido a eliminar el servicio Microsoft Sentinel. Si cambia de opinión y desea instalarlo de nuevo, consulte Inicio rápido: Incorporación de Microsoft Sentinel.