Usuwanie usługi Microsoft Sentinel z obszaru roboczego
Jeśli nie chcesz już korzystać z usługi Microsoft Sentinel, w tym artykule wyjaśniono, jak usunąć go z obszaru roboczego usługi Log Analytics. Przed wykonaniem tych kroków zapoznaj się z implikacjami usuwania usługi Microsoft Sentinel.
Usuwanie usługi Microsoft Sentinel
Wykonaj poniższe kroki, aby usunąć usługę Microsoft Sentinel z obszaru roboczego usługi Log Analytics.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Ustawienia.
Na stronie Ustawienia wybierz kartę Ustawienia.
W dolnej części listy wybierz pozycję Usuń usługę Microsoft Sentinel.
Przejrzyj sekcję Know before you go... (Informacje przed przejściem do strony... ) i uważnie zapoznaj się z resztą tego dokumentu. Przed kontynuowaniem wykonaj wszystkie niezbędne czynności.
Zaznacz odpowiednie pola wyboru, aby poinformować nas, dlaczego usuwasz usługę Microsoft Sentinel. Wprowadź inne szczegóły w podanym obszarze i wskaż, czy firma Microsoft ma wysłać wiadomość e-mail w odpowiedzi na twoją opinię.
Wybierz pozycję Usuń usługę Microsoft Sentinel z obszaru roboczego.
Rozważ zmiany cen
Gdy usługa Microsoft Sentinel zostanie usunięta z obszaru roboczego, nadal mogą istnieć koszty związane z danymi w usłudze Azure Monitor Log Analytics. Aby uzyskać więcej informacji na temat wpływu na koszty warstwy zobowiązania, zobacz Uproszczone zachowanie dołączania rozliczeń.
Przegląd implikacji
Usunięcie usługi Microsoft Sentinel z obszaru roboczego usługi Log Analytics może potrwać do 48 godzin. Konfiguracja łącznika danych i tabele usługi Microsoft Sentinel są usuwane. Inne zasoby i dane są przechowywane przez ograniczony czas.
Twoja subskrypcja będzie nadal zarejestrowana u dostawcy zasobów usługi Microsoft Sentinel. Można go jednak usunąć ręcznie.
Usunięte konfiguracje łącznika danych
Konfiguracje następującego łącznika danych są usuwane po usunięciu usługi Microsoft Sentinel z obszaru roboczego.
Microsoft 365
Amazon Web Services
usługi firmy Microsoft alerty zabezpieczeń:
- Microsoft Defender for Identity
- Microsoft Defender dla Chmury aplikacje, w tym raportowanie IT w tle rozwiązania Cloud Discovery
- Microsoft Entra ID — ochrona
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Cloud
Analiza zagrożeń
Typowe dzienniki zabezpieczeń, w tym dzienniki oparte na formacie CEF, Barracuda i Syslog. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla Chmury, te dzienniki będą nadal zbierane.
Zabezpieczenia Windows Zdarzenia. Jeśli otrzymasz alerty zabezpieczeń z Microsoft Defender dla Chmury, te dzienniki będą nadal zbierane.
W ciągu pierwszych 48 godzin reguły danych i analizy, które obejmują konfigurację automatyzacji w czasie rzeczywistym, nie są już dostępne ani możliwe do wykonywania zapytań w usłudze Microsoft Sentinel.
Usunięte zasoby
Następujące zasoby zostaną usunięte po upływie 30 dni:
Zdarzenia (w tym metadane badania)
Reguły analizy
Zakładki
Podręczniki, zapisane skoroszyty, zapisane zapytania wyszukiwania zagrożeń i notesy nie są usuwane. Niektóre z tych zasobów mogą zostać przerwane z powodu usuniętych danych. Usuń te zasoby ręcznie.
Po usunięciu usługi okres prolongaty wynosi 30 dni, aby ponownie włączyć usługę Microsoft Sentinel. Reguły danych i analizy są przywracane, ale skonfigurowane łączniki, które zostały rozłączone, muszą zostać ponownie połączone.
Usunięte tabele usługi Microsoft Sentinel
Po usunięciu usługi Microsoft Sentinel z obszaru roboczego wszystkie tabele usługi Microsoft Sentinel zostaną usunięte. Dane w tych tabelach nie są dostępne ani możliwe do wykonywania zapytań. Jednak zasady przechowywania danych ustawione dla tych tabel mają zastosowanie do danych w usuniętych tabelach. Dlatego jeśli ponownie włączysz usługę Microsoft Sentinel w obszarze roboczym w okresie przechowywania danych, zachowane dane zostaną przywrócone do tych tabel.
Tabele i powiązane dane, które są niedostępne podczas usuwania usługi Microsoft Sentinel, obejmują, ale nie są ograniczone do następujących tabel:
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent
Następne kroki
W tym dokumencie przedstawiono sposób usuwania usługi Microsoft Sentinel. Jeśli zmienisz zdanie i chcesz go zainstalować ponownie, zobacz Szybki start: dołączanie usługi Microsoft Sentinel.