Rimuovere Microsoft Sentinel dall'area di lavoro

Se non si vuole più usare Microsoft Sentinel, questo articolo illustra come rimuoverlo dall'area di lavoro Log Analytics. Esaminare le implicazioni della rimozione di Microsoft Sentinel prima di completare questi passaggi.

Rimuovere Microsoft Sentinel

Completare la procedura seguente per rimuovere Microsoft Sentinel dall'area di lavoro Log Analytics.

1. Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Impostazioni.

2. Nella pagina Impostazioni selezionare la scheda Impostazioni.

3. Nella parte inferiore dell'elenco selezionare Rimuovi Microsoft Sentinel.

   

4. Esaminare la sezione Informazioni prima di andare... e il resto di questo documento con attenzione. Prima di procedere, eseguire tutte le azioni necessarie.

5. Selezionare le caselle di controllo appropriate per segnalare il motivo per cui si sta rimuovendo Microsoft Sentinel. Immettere eventuali altri dettagli nello spazio fornito e indicare se si vuole inviare un messaggio di posta elettronica a Microsoft in risposta ai commenti e suggerimenti.

6. Selezionare Rimuovi Microsoft Sentinel dall'area di lavoro.

   

Prendere in considerazione le modifiche ai prezzi

Quando Microsoft Sentinel viene rimosso da un'area di lavoro, potrebbero esserci ancora costi associati ai dati in Log Analytics di Monitoraggio di Azure. Per altre informazioni sull'effetto dei costi del livello di impegno, vedere Comportamento di offboarding semplificato per la fatturazione.

Esaminare le implicazioni

La rimozione di Microsoft Sentinel dall'area di lavoro Log Analytics può richiedere fino a 48 ore. La configurazione del connettore dati e le tabelle di Microsoft Sentinel vengono eliminate. Altre risorse e dati vengono conservati per un periodo di tempo limitato.

La sottoscrizione continua a essere registrata con il provider di risorse di Microsoft Sentinel. Ma è possibile rimuoverlo manualmente.

Configurazioni del connettore dati rimosse

Le configurazioni per il connettore dati seguente vengono rimosse quando si rimuove Microsoft Sentinel dall'area di lavoro.

• Microsoft 365

• Amazon Web Services

• servizi Microsoft avvisi di sicurezza:

  • Microsoft Defender per identità
  • Microsoft Defender per il cloud App che includono la creazione di report Shadow IT di Cloud Discovery
  • Microsoft Entra ID Protection
  • Microsoft Defender per endpoint
  • Microsoft Defender for Cloud

• Intelligence per le minacce

• Log di sicurezza comuni, tra cui log basati su CEF, Barracuda e Syslog. Se si ricevono avvisi di sicurezza da Microsoft Defender per il cloud, questi log continuano a essere raccolti.

• eventi Sicurezza di Windows. Se si ricevono avvisi di sicurezza da Microsoft Defender per il cloud, questi log continuano a essere raccolti.

Entro le prime 48 ore, le regole di dati e analisi, che includono la configurazione dell'automazione in tempo reale, non sono più accessibili o su cui è possibile eseguire query in Microsoft Sentinel.

Risorse rimosse

Le risorse seguenti vengono rimosse dopo 30 giorni:

• Eventi imprevisti (inclusi i metadati di indagine)

• Regole di analisi

• Bookmarks

I playbook, le cartelle di lavoro salvate, le query di ricerca salvate e i notebook non vengono rimossi. Alcune di queste risorse potrebbero interrompersi a causa dei dati rimossi. Rimuovere manualmente tali risorse.

Dopo aver rimosso il servizio, è previsto un periodo di tolleranza di 30 giorni per riabilitare Microsoft Sentinel. I dati e le regole di analisi vengono ripristinati, ma i connettori configurati disconnessi devono essere riconnessi.

Tabelle di Microsoft Sentinel eliminate

Quando si rimuove Microsoft Sentinel dall'area di lavoro, tutte le tabelle di Microsoft Sentinel vengono eliminate. I dati in queste tabelle non sono accessibili o su cui è possibile eseguire query. Tuttavia, i criteri di conservazione dei dati impostati per tali tabelle si applicano ai dati nelle tabelle eliminate. Pertanto, se si riabilita Microsoft Sentinel nell'area di lavoro entro il periodo di conservazione dei dati, i dati conservati vengono ripristinati in tali tabelle.

Le tabelle e i dati correlati non accessibili quando si rimuove Microsoft Sentinel includono, ma non sono limitati alle tabelle seguenti:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Passaggi successivi

In questo documento si è appreso come rimuovere il servizio Microsoft Sentinel. Se si cambia idea e si vuole installarla di nuovo, vedere Avvio rapido: Eseguire l'onboarding di Microsoft Sentinel.