Compartir a través de


Eliminación de Microsoft Sentinel del área de trabajo

Si ya no quiere usar Microsoft Sentinel, en este artículo se explica cómo eliminarlo del área de trabajo de Log Analytics. Revise las implicaciones de quitar Microsoft Sentinel antes de completar estos pasos.

Eliminar Microsoft Sentinel

Complete los pasos siguientes para quitar Microsoft Sentinel del área de trabajo de Log Analytics.

  1. Para Microsoft Sentinel, en Azure Portal en Configuración, seleccione Valores.

  2. En la página Settings (Configuración), seleccione la pestaña Settings (Configuración).

  3. En la parte inferior de la lista, seleccione Quitar Microsoft Sentinel.

    Screenshot to find the setting to remove Microsoft Sentinel from your workspace.

  4. Revise la sección Saber antes de ir... y el resto de este documento cuidadosamente. Realice todas las acciones necesarias antes de continuar.

  5. Use las casillas adecuadas para indicarnos el motivo por el que va a eliminar Microsoft Sentinel. Escriba cualquier otro detalle en el espacio proporcionado e indique si desea que Microsoft le envíe un correo electrónico en respuesta a sus comentarios.

  6. Seleccione Quitar Microsoft Sentinel del área de trabajo.

    Screenshot that shows the section to remove the Microsoft Sentinel solution from your workspace.

Considerar los cambios de precios

Cuando se elimina Microsoft Sentinel de un área de trabajo, es posible que aún existan costes asociados a los datos de Azure Monitor Log Analytics. Para más información sobre el efecto en los costes de los niveles de compromiso, consulte Comportamiento simplificado de exclusión de facturación.

Implicaciones de la revisión

Microsoft Sentinel puede tardar hasta 48 horas en eliminarse del área de trabajo de Log Analytics. Se eliminarán la configuración del conector de datos y las tablas de Microsoft Sentinel. Otros recursos y datos se conservarán durante un tiempo limitado.

La suscripción seguirá registrada con el proveedor de recursos de Microsoft Sentinel. Sin embargo, puede eliminarla manualmente.

Se han eliminado las configuraciones del conector de datos

Las configuraciones del siguiente conector de datos se eliminarán al quitar Microsoft Sentinel del área de trabajo.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de seguridad de servicios de Microsoft:

    • Microsoft Defender for Identity
    • Aplicaciones de Microsoft Defender for Cloud, incluidos los informes Shadow IT de Cloud Discovery
    • Protección de Microsoft Entra ID
    • Microsoft Defender para punto de conexión
    • Microsoft Defender for Cloud
  • Información sobre amenazas

  • Registros de seguridad comunes, incluidos los registros basados en CEF, Barracuda y Syslog. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.

  • Eventos de seguridad de Windows. Si obtiene las alertas de Microsoft Defender for Cloud, se seguirán recopilando estos registros.

Durante las primeras 48 horas, los datos y las reglas de análisis, que incluyen la configuración de la automatización en tiempo real, dejarán de ser accesibles o consultables en Microsoft Sentinel.

Recursos quitados

Los siguientes recursos se quitarán después de 30 días:

  • Incidentes (incluidos los metadatos de investigación)

  • Reglas de análisis

  • Marcadores

Los cuadernos de estrategias, libros guardados, consultas de búsqueda guardadas y cuadernos no se eliminan. Algunos de estos recursos podrían interrumpirse debido a los datos eliminados. Quite esos recursos manualmente.

Después de eliminar el servicio, hay un período de gracia de 30 días para volver a habilitar Microsoft Sentinel. Se restauran los datos y las reglas de análisis, pero los conectores configurados que se desconectaron deberán volver a conectarse.

Tablas de Microsoft Sentinel eliminadas

Al quitar Microsoft Sentinel del área de trabajo, se eliminan todas las tablas de Microsoft Sentinel. Los datos de estas tablas no son accesibles ni consultables. Pero la directiva de retención de datos establecida para esas tablas se aplica a los datos de las tablas eliminadas. Por lo tanto, si vuelve a habilitar Microsoft Sentinel en el área de trabajo dentro del período de tiempo de retención de datos, los datos retenidos se restauran en esas tablas.

Las tablas y los datos relacionados que no son accesibles al quitar Microsoft Sentinel incluyen, pero no se limitan a las tablas siguientes:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent

Pasos siguientes

En este documento, ha aprendido a eliminar el servicio Microsoft Sentinel. Si cambia de opinión y desea instalarlo de nuevo, consulte Inicio rápido: Incorporación de Microsoft Sentinel.