Partilhar via

Implicações da remoção do Microsoft Sentinel do seu espaço de trabalho

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Se você decidir que não deseja mais usar sua instância do Microsoft Sentinel associada a um espaço de trabalho do Log Analytics, remova o Microsoft Sentinel do espaço de trabalho. Mas antes disso, considere as implicações descritas neste artigo.

Pode levar até 48 horas para que o Microsoft Sentinel seja removido do espaço de trabalho do Log Analytics. A configuração do conector de dados e as tabelas do Microsoft Sentinel são excluídas. Outros recursos e dados são retidos por um tempo limitado.

A sua subscrição continua a ser registada no fornecedor de recursos do Microsoft Sentinel. Mas, você pode removê-lo manualmente.

Se você não quiser manter o espaço de trabalho e os dados coletados para o Microsoft Sentinel, exclua os recursos associados ao espaço de trabalho no portal do Azure.

Alterações de preços

Quando o Microsoft Sentinel é removido de um espaço de trabalho, ainda pode haver custos associados aos dados no Azure Monitor Log Analytics. Para obter mais informações sobre o efeito nos custos da camada de compromisso, consulte Comportamento simplificado de faturamento offboarding.

Configurações do conector de dados removidas

As configurações para o seguinte conector de dados são removidas quando você remove o Microsoft Sentinel do seu espaço de trabalho.

  • Microsoft 365

  • Amazon Web Services

  • Alertas de segurança dos serviços Microsoft:

    • Microsoft Defender para Identidade
    • Microsoft Defender for Cloud Apps, incluindo Cloud Discovery, relatórios de TI sombra
    • Proteção do Microsoft Entra ID
    • Microsoft Defender para Ponto Final
    • Microsoft Defender para a Cloud

  • Informações sobre Ameaças

  • Logs de segurança comuns, incluindo logs baseados em CEF, Barracuda e Syslog. Se você receber alertas de segurança do Microsoft Defender for Cloud, esses logs continuarão a ser coletados.

  • Eventos de Segurança do Windows. Se você receber alertas de segurança do Microsoft Defender for Cloud, esses logs continuarão a ser coletados.

Nas primeiras 48 horas, as regras de dados e análises, que incluem configuração de automação em tempo real, não estão mais acessíveis ou podem ser consultadas no Microsoft Sentinel.

Recursos removidos

Os seguintes recursos são removidos após 30 dias:

  • Incidentes (incluindo metadados de investigação)

  • Regras de análise

  • Marcadores

Seus playbooks, pastas de trabalho salvas, consultas de caça salvas e blocos de anotações não são removidos. Alguns desses recursos podem quebrar devido aos dados removidos. Remova esses recursos manualmente.

Depois de remover o serviço, há um período de carência de 30 dias para reativar o Microsoft Sentinel. Suas regras de dados e análises são restauradas, mas os conectores configurados que foram desconectados devem ser reconectados.

Tabelas do Microsoft Sentinel excluídas

Quando você remove o Microsoft Sentinel do seu espaço de trabalho, todas as tabelas do Microsoft Sentinel são excluídas. Os dados nessas tabelas não são acessíveis ou consultáveis. No entanto, a política de retenção de dados definida para essas tabelas aplica-se aos dados nas tabelas excluídas. Portanto, se você reativar o Microsoft Sentinel no espaço de trabalho dentro do período de tempo de retenção de dados, os dados retidos serão restaurados para essas tabelas.

As tabelas e dados relacionados que ficam inacessíveis quando você remove o Microsoft Sentinel incluem, mas não estão limitados às seguintes tabelas:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent