Supprimer Microsoft Sentinel de votre espace de travail
Si vous ne souhaitez plus utiliser Microsoft Sentinel, cet article explique comment le supprimer de votre espace de travail Log Analytics. Passez en revue les implications de la suppression de Microsoft Sentinel avant d’effectuer ces étapes.
Supprimer Microsoft Sentinel
Effectuez les étapes suivantes pour supprimer Microsoft Sentinel de votre espace de travail Log Analytics.
Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Paramètres.
Dans la page Paramètres, sélectionnez l’onglet Paramètres.
En bas de la liste, sélectionnez Supprimer Microsoft Sentinel.
Passez en revue la section Savoir avant d’aller... et le reste de ce document soigneusement. Effectuez toutes les actions nécessaires avant de continuer.
Cochez les cases appropriées pour nous indiquer pourquoi vous supprimez Microsoft Sentinel. Entrez d’autres détails dans l’espace fourni et indiquez si Vous souhaitez que Microsoft vous envoie un e-mail en réponse à vos commentaires.
Sélectionnez Supprimer Microsoft Sentinel de votre espace de travail.
Tenir compte des changements de tarification
Lorsque Microsoft Sentinel est supprimé d’un espace de travail, des coûts peuvent toujours être associés aux données dans Azure Monitor Log Analytics. Pour plus d’informations sur l’effet engendré sur les coûts du niveau d’engagement, consultez Comportement de retrait de facturation simplifié.
Examiner les implications
La suppression de Microsoft Sentinel de l’espace de travail Log Analytics peut prendre jusqu’à 48 heures. La configuration du connecteur de données et les tables Microsoft Sentinel sont supprimées. D’autres ressources et données sont conservées pendant une durée limitée.
Votre abonnement continue d’être inscrit auprès du fournisseur de ressources Microsoft Sentinel. Toutefois, vous pouvez le supprimer manuellement.
Configurations du connecteur de données supprimées
Les configurations du connecteur de données suivant sont supprimées lorsque vous supprimez Microsoft Sentinel de votre espace de travail.
Microsoft 365
Amazon Web Services
Alertes de sécurité des services Microsoft :
- Microsoft Defender pour Identity
- Microsoft Defender for Cloud Apps, y compris le rapport informatique Shadow Cloud Discovery
- Protection de l'identifiant Microsoft Entra
- Microsoft Defender for Endpoint
- Microsoft Defender pour le cloud
Informations sur les menaces
Journaux de sécurité courants, notamment les journaux basés sur CEF, Barracuda et Syslog. Si vous recevez des alertes de sécurité à partir de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.
Windows Security Events. Si vous recevez des alertes de sécurité à partir de Microsoft Defender pour le cloud, ces journaux continuent d’être collectés.
Dans les 48 premières heures, les règles de données et d’analytique, qui incluent la configuration d’automatisation en temps réel, ne sont plus accessibles ou interrogeables dans Microsoft Sentinel.
Ressources supprimées
Les ressources suivantes sont supprimées après 30 jours :
Incidents (dont les métadonnées d’enquête)
Règles analytiques
Signets
Vos playbooks, classeurs enregistrés, requêtes de repérage enregistrées et blocs-notes ne sont pas supprimés. Certaines de ces ressources peuvent s’interrompre en raison des données supprimées. Supprimez ces ressources manuellement.
Après avoir supprimé le service, il existe une période de grâce de 30 jours pour réactiver Microsoft Sentinel. Vos règles de données et d’analytique sont restaurées, mais les connecteurs configurés qui ont été déconnectés doivent être reconnectés.
Tables Microsoft Sentinel supprimées
Lorsque vous supprimez Microsoft Sentinel de votre espace de travail, toutes les tables Microsoft Sentinel sont supprimées. Les données de ces tables ne sont pas accessibles ou interrogeables. Toutefois, la stratégie de rétention des données définie pour ces tables s’applique aux données des tables supprimées. Par conséquent, si vous réactivez Microsoft Sentinel sur l’espace de travail au cours de la période de rétention des données, les données conservées sont restaurées dans ces tables.
Les tables et les données associées inaccessibles lorsque vous supprimez Microsoft Sentinel incluent, mais ne sont pas limitées aux tableaux suivants :
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent
Étapes suivantes
Dans ce document, vous avez appris à supprimer le service Microsoft Sentinel. Si vous changez d’avis et que vous souhaitez l’installer à nouveau, consultez Démarrage rapide : Intégrer Microsoft Sentinel.