ワークスペースから Microsoft Sentinel を削除する

[アーティクル]
03/14/2024

この記事では、Microsoft Sentinel が不要になった場合に Log Analytics ワークスペースから削除する方法について説明します。これらの手順を完了する前に、Microsoft Sentinel を削除する意味を確認してください。

Microsoft Sentinel を削除する

次の手順を完了してから、Log Analytics ワークスペースから Microsoft Sentinel を削除します。

Azure portal の Microsoft Sentinel の場合、[構成] の下にある [設定] を選択します。
[設定] ページで、[設定] タブを選択します。
一覧の一番下にある、[Microsoft Sentinel を削除する] を選択します。
[出発前に知っておくこと...] セクションとこのドキュメントの残りの部分を慎重に確認してください。先に進む前に、必要な措置をすべて講じてください。
該当するチェックボックスを選択して、Microsoft Sentinel を削除する理由をお知らせください。その他の詳細があれば提供されたスペースに入力し、フィードバックに対する回答をメールで送信することを Microsoft に求めるか示します。
[ワークスペースから Microsoft Sentinel を削除する] を選択します。

価格の変更を検討する

Microsoft Sentinel をワークスペースから削除しても、Azure Monitor Log Analytics のデータに関連するコストが発生する場合があります。コミットメントレベルのコストへの影響の詳細については、「簡略化された課金のオフボード動作」を参照してください。

レビューの影響

Microsoft Sentinel が Log Analytics ワークスペースから削除されるまで最大 48 時間かかる場合があります。データコネクタの構成と Microsoft Sentinel テーブルが削除されました。その他のリソースやデータは期間限定で保持されます。

サブスクリプションは Microsoft Sentinel リソースプロバイダーに登録されたままになります。ただし、これは手動で削除できます。

データコネクタの構成の削除

ワークスペースから Microsoft Sentinel を削除すると、次のデータコネクタの構成が削除されます。

Microsoft 365
アマゾンウェブサービス
Microsoft サービスのセキュリティアラート:
- Microsoft Defender for Identity
- Cloud Discovery シャドウ IT レポートなどの Microsoft Defender for Cloud Apps
- Microsoft Entra ID Protection
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud
脅威インテリジェンス
CEF ベースのログ、Barracuda、Syslog などの一般的なセキュリティログ。 Microsoft Defender for Cloud からセキュリティアラートを取得する場合、これらのログは引き続き収集されます。
Windows セキュリティイベント。 Microsoft Defender for Cloud からセキュリティアラートを取得する場合、これらのログは引き続き収集されます。

最初の 48 時間以内に、Microsoft Sentinel のデータと分析ルール (リアルタイム自動構成を含む) にアクセスできなくなります。また、クエリを実行できなくなります。

リソースの削除

次のリソースは、30 日後に削除されます:

インシデント (調査メタデータを含む)
分析ルール
ブックマーク

プレイブック、保存したブック、保存した検索クエリ、ノートブックは削除されません。これらのリソースの一部は、削除したデータが原因で壊れる場合があります。これらのリソースは手動で削除する必要があります。

サービスの削除後、Microsoft Sentinel を再有効化するための 30 日間の猶予期間があります。データと分析のルールは復元されますが、構成されているコネクタが切断された場合、再接続する必要があります。

Microsoft Sentinel テーブルの削除

ワークスペースから Microsoft Sentinel を削除すると、すべての Microsoft Sentinel テーブルが削除されます。これらのテーブルのデータにアクセスできなくなります。また、クエリを実行できなくなります。ただし、これらのテーブルに設定されたデータ保持ポリシーは、削除されたテーブルのデータにも適用されます。そのため、データ保持期間内にワークスペースで Microsoft Sentinel を再度有効にすると、保持されていたデータがそれらのテーブルに復元されます。

Microsoft Sentinel を削除するとアクセスできなくなるテーブルと関連データには、次のテーブルが含まれますが、これらに限定されません。

AlertEvidence
AlertInfo
Anomalies
ASimAuditEventLogs
ASimAuthenticationEventLogs
ASimDhcpEventLogs
ASimDnsActivityLogs
ASimFileEventLogs
ASimNetworkSessionLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
ASimWebSessionLogs
AWSCloudTrail
AWSCloudWatch
AWSGuardDuty
AWSVPCFlow
CloudAppEvents
CommonSecurityLog
ConfidentialWatchlist
DataverseActivity
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DnsEvents
DnsInventory
Dynamics365Activity
DynamicSummary
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
GCPAuditLogs
GoogleCloudSCC
HuntingBookmark
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
LinuxAuditLog
McasShadowItReporting
MicrosoftPurviewInformationProtection
NetworkSessions
OfficeActivity
PowerAppsActivity
PowerAutomateActivity
PowerBIActivity
PowerPlatformAdminActivity
PowerPlatformConnectorActivity
PowerPlatformDlpActivity
ProjectActivity
SecurityAlert
SecurityEvent
SecurityIncident
SentinelAudit
SentinelHealth
ThreatIntelligenceIndicator
UrlClickEvents
Watchlist
WindowsEvent

次のステップ

このドキュメントでは、Microsoft Sentinel サービスを削除する方法について学習しました。考えが変わり、もう一度インストールすることになったら、「クイックスタート: Microsoft Sentinel をオンボードする」を参照してください。

次の方法で共有