Remover o Microsoft Azure Sentinel da área de trabalho

Se você não quiser mais usar o Microsoft Sentinel, este artigo explica como removê-lo do espaço de trabalho do Log Analytics. Analise as implicações da remoção do Microsoft Sentinel antes de concluir estas etapas.

Remover o Microsoft Sentinel

Conclua as etapas a seguir para remover o Microsoft Sentinel do seu espaço de trabalho do Log Analytics.

1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Configurações.

2. Na página Configurações, selecione a guia Configurações.

3. Na parte inferior da lista, selecione Remover Microsoft Sentinel.

   

4. Reveja cuidadosamente a secção Saber antes de ir... e o resto deste documento. Tome todas as medidas necessárias antes de prosseguir.

5. Marque as caixas de seleção apropriadas para nos informar por que você está removendo o Microsoft Sentinel. Introduza quaisquer outros detalhes no espaço fornecido e indique se pretende que a Microsoft lhe envie um e-mail em resposta aos seus comentários.

6. Selecione Remover o Microsoft Sentinel do seu espaço de trabalho.

   

Considere alterações de preços

Quando o Microsoft Sentinel é removido de um espaço de trabalho, ainda pode haver custos associados aos dados no Azure Monitor Log Analytics. Para obter mais informações sobre o efeito nos custos da camada de compromisso, consulte Comportamento simplificado de faturamento offboarding.

Implicações da revisão

Pode levar até 48 horas para que o Microsoft Sentinel seja removido do espaço de trabalho do Log Analytics. A configuração do conector de dados e as tabelas do Microsoft Sentinel são excluídas. Outros recursos e dados são retidos por um tempo limitado.

A sua subscrição continua a ser registada no fornecedor de recursos do Microsoft Sentinel. Mas, você pode removê-lo manualmente.

Configurações do conector de dados removidas

As configurações para o seguinte conector de dados são removidas quando você remove o Microsoft Sentinel do seu espaço de trabalho.

• Microsoft 365

• Amazon Web Services

• Alertas de segurança dos serviços Microsoft:

  • Microsoft Defender para Identidade
  • Microsoft Defender for Cloud Apps, incluindo Cloud Discovery, relatórios de TI sombra
  • Proteção do Microsoft Entra ID
  • Microsoft Defender para Ponto Final
  • Microsoft Defender para a Cloud

• Informações sobre Ameaças

• Logs de segurança comuns, incluindo logs baseados em CEF, Barracuda e Syslog. Se você receber alertas de segurança do Microsoft Defender for Cloud, esses logs continuarão a ser coletados.

• Eventos de Segurança do Windows. Se você receber alertas de segurança do Microsoft Defender for Cloud, esses logs continuarão a ser coletados.

Nas primeiras 48 horas, as regras de dados e análises, que incluem configuração de automação em tempo real, não estão mais acessíveis ou podem ser consultadas no Microsoft Sentinel.

Recursos removidos

Os seguintes recursos são removidos após 30 dias:

• Incidentes (incluindo metadados de investigação)

• Regras de análise

• Marcadores

Seus playbooks, pastas de trabalho salvas, consultas de caça salvas e blocos de anotações não são removidos. Alguns desses recursos podem quebrar devido aos dados removidos. Remova esses recursos manualmente.

Depois de remover o serviço, há um período de carência de 30 dias para reativar o Microsoft Sentinel. Suas regras de dados e análises são restauradas, mas os conectores configurados que foram desconectados devem ser reconectados.

Tabelas do Microsoft Sentinel excluídas

Quando você remove o Microsoft Sentinel do seu espaço de trabalho, todas as tabelas do Microsoft Sentinel são excluídas. Os dados nessas tabelas não são acessíveis ou consultáveis. No entanto, a política de retenção de dados definida para essas tabelas aplica-se aos dados nas tabelas excluídas. Portanto, se você reativar o Microsoft Sentinel no espaço de trabalho dentro do período de tempo de retenção de dados, os dados retidos serão restaurados para essas tabelas.

As tabelas e dados relacionados que ficam inacessíveis quando você remove o Microsoft Sentinel incluem, mas não estão limitados às seguintes tabelas:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Próximos passos

Neste documento, você aprendeu como remover o serviço Microsoft Sentinel. Se mudar de ideias e pretender instalá-lo novamente, consulte Guia de início rápido: Onboard Microsoft Sentinel.