Поделиться через

Последствия удаления Microsoft Sentinel из рабочей области

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Если вы решите, что вы больше не хотите использовать экземпляр Microsoft Sentinel, связанный с рабочей областью Log Analytics, удалите Microsoft Sentinel из рабочей области. Но прежде чем делать, рассмотрим последствия, описанные в этой статье.

Для удаления Microsoft Sentinel из рабочей области Log Analytics может потребоваться до 48 часов. Конфигурация соединителя данных и таблицы Microsoft Sentinel удаляются. Другие ресурсы и данные хранятся в течение ограниченного времени.

Подписка по-прежнему регистрируется в поставщике ресурсов Microsoft Sentinel. Но ее можно удалить вручную.

Если вы не хотите хранить рабочую область и собранные данные для Microsoft Sentinel, удалите ресурсы, связанные с рабочей областью в портал Azure.

Изменения цен

При удалении Microsoft Sentinel из рабочей области могут возникнуть затраты, связанные с данными в Azure Monitor Log Analytics. Дополнительные сведения о влиянии на затраты уровня обязательств см. в статье об упрощенном поведении выставления счетов.

Удалены конфигурации соединителя данных

Конфигурации для следующего соединителя данных удаляются при удалении Microsoft Sentinel из рабочей области.

  • Microsoft 365

  • Amazon Web Services

  • оповещения системы безопасности службы Майкрософт:

    • Microsoft Defender для удостоверений
    • Microsoft Defender для облака приложения, включая теневые ИТ-отчеты Cloud Discovery
    • Защита идентификации Microsoft Entra
    • Microsoft Defender для конечной точки;
    • Microsoft Defender для облака

  • Аналитика угроз

  • Распространенные журналы безопасности, включая журналы на основе CEF, Barracuda и Syslog. Если вы получаете оповещения системы безопасности из Microsoft Defender для облака, эти журналы продолжают собираться.

  • Безопасность Windows события. Если вы получаете оповещения системы безопасности из Microsoft Defender для облака, эти журналы продолжают собираться.

В течение первых 48 часов правила данных и аналитики, которые включают конфигурацию автоматизации в режиме реального времени, больше не доступны или запрашиваются в Microsoft Sentinel.

Удалены ресурсы

Следующие ресурсы удаляются через 30 дней:

  • инциденты (включая метаданные для расследования);

  • Правила аналитики

  • Закладки

Сборники схем, сохраненные книги, сохраненные запросы охоты и записные книжки не удаляются. Некоторые из этих ресурсов могут нарушиться из-за удаленных данных. Удалите эти ресурсы вручную.

После удаления службы есть льготный период 30 дней для повторного включения Microsoft Sentinel. Правила данных и аналитики восстанавливаются, но настроенные соединители, которые были отключены, необходимо повторно подключить.

Удаленные таблицы Microsoft Sentinel

При удалении Microsoft Sentinel из рабочей области удаляются все таблицы Microsoft Sentinel. Данные в этих таблицах недоступны или запрашиваемые. Но политика хранения данных для этих таблиц применяется к данным в удаленных таблицах. Таким образом, если вы повторно включите Microsoft Sentinel в рабочей области в течение периода хранения данных, сохраненные данные восстанавливаются в этих таблицах.

Таблицы и связанные данные, недоступные при удалении Microsoft Sentinel, включают, но не ограничиваются следующими таблицами:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent