Dela via

Ta bort Microsoft Sentinel från din arbetsyta

  • Artikel

Om du inte längre vill använda Microsoft Sentinel förklarar den här artikeln hur du tar bort den från Din Log Analytics-arbetsyta. Granska konsekvenserna av att ta bort Microsoft Sentinel innan du slutför de här stegen.

Ta bort Microsoft Sentinel

Slutför följande steg för att ta bort Microsoft Sentinel från din Log Analytics-arbetsyta.

  1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Inställningar.

  2. På sidan Inställningar väljer du fliken Inställningar.

  3. Längst ned i listan väljer du Ta bort Microsoft Sentinel.

    Screenshot to find the setting to remove Microsoft Sentinel from your workspace.

  4. Granska avsnittet Vet innan du går... och resten av det här dokumentet noggrant. Vidta alla nödvändiga åtgärder innan du fortsätter.

  5. Markera lämpliga kryssrutor för att meddela oss varför du tar bort Microsoft Sentinel. Ange all annan information i det angivna utrymmet och ange om du vill att Microsoft ska skicka e-post till dig som svar på din feedback.

  6. Välj Ta bort Microsoft Sentinel från din arbetsyta.

    Screenshot that shows the section to remove the Microsoft Sentinel solution from your workspace.

Överväg prisändringar

När Microsoft Sentinel tas bort från en arbetsyta kan det fortfarande finnas kostnader för data i Azure Monitor Log Analytics. Mer information om effekten på kostnader på åtagandenivå finns i Förenklat beteende för avregistrering av fakturering.

Granska konsekvenser

Det kan ta upp till 48 timmar innan Microsoft Sentinel tas bort från Log Analytics-arbetsytan. Konfiguration av dataanslutningsappar och Microsoft Sentinel-tabeller tas bort. Andra resurser och data behålls under en begränsad tid.

Din prenumeration fortsätter att vara registrerad hos Microsoft Sentinel-resursprovidern. Men du kan ta bort den manuellt.

Konfigurationer för dataanslutning har tagits bort

Konfigurationerna för följande dataanslutning tas bort när du tar bort Microsoft Sentinel från din arbetsyta.

  • Microsoft 365

  • Amazon Web Services

  • Microsoft-tjänster säkerhetsaviseringar:

    • Microsoft Defender for Identity
    • Microsoft Defender för molnet-appar inklusive Cloud Discovery Shadow IT-rapportering
    • Microsoft Entra ID Protection
    • Microsoft Defender för slutpunkter
    • Microsoft Defender for Cloud

  • Hotinformation

  • Vanliga säkerhetsloggar, inklusive CEF-baserade loggar, Barracuda och Syslog. Om du får säkerhetsaviseringar från Microsoft Defender för molnet fortsätter dessa loggar att samlas in.

  • Windows-säkerhet händelser. Om du får säkerhetsaviseringar från Microsoft Defender för molnet fortsätter dessa loggar att samlas in.

Inom de första 48 timmarna är data- och analysreglerna, som omfattar automatiseringskonfiguration i realtid, inte längre tillgängliga eller frågebara i Microsoft Sentinel.

Resurser har tagits bort

Följande resurser tas bort efter 30 dagar:

  • Incidenter (inklusive undersökningsmetadata)

  • Analysregler

  • Bokmärken

Dina spelböcker, sparade arbetsböcker, sparade jaktfrågor och anteckningsböcker tas inte bort. Vissa av dessa resurser kan brytas på grund av borttagna data. Ta bort resurserna manuellt.

När du tar bort tjänsten finns det en respitperiod på 30 dagar för att återaktivera Microsoft Sentinel. Dina data- och analysregler återställs, men de konfigurerade anslutningsapparna som kopplades från måste återanslutas.

Microsoft Sentinel-tabeller har tagits bort

När du tar bort Microsoft Sentinel från din arbetsyta tas alla Microsoft Sentinel-tabeller bort. Data i dessa tabeller är inte tillgängliga eller frågebara. Men den datakvarhållningsprincip som angetts för dessa tabeller gäller för data i de borttagna tabellerna. Så om du återaktiverar Microsoft Sentinel på arbetsytan inom datakvarhållningsperioden återställs de kvarhållna data till dessa tabeller.

Tabeller och relaterade data som är otillgängliga när du tar bort Microsoft Sentinel inkluderar men är inte begränsade till följande tabeller:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent

Nästa steg

I det här dokumentet har du lärt dig hur du tar bort Microsoft Sentinel-tjänsten. Om du ändrar dig och vill installera det igen kan du läsa Snabbstart: Publicera Microsoft Sentinel.