共用方式為

從您的工作區移除 Microsoft Sentinel

  • 發行項

如果您不想再使用 Microsoft Sentinel,本文說明如何從 Log Analytics 工作區中移除它。 完成這些步驟之前,請先檢閱移除 Microsoft Sentinel 的影響。

拿掉 Microsoft Sentinel

完成下列步驟,從 Log Analytics 工作區中移除 Microsoft Sentinel。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [組態] 底下選取 [設定]。

  2. [設定] 頁面上,選取 [設定] 索引標籤

  3. 在清單底部,選取 [ 移除 Microsoft Sentinel]。

    Screenshot to find the setting to remove Microsoft Sentinel from your workspace.

  4. 請仔細檢閱 [瞭解 ...] 區段和本文件的其餘部分。 在繼續之前,請先採取所有必要的動作。

  5. 選取適當的複選框,讓我們知道您為何要移除 Microsoft Sentinel。 在提供的空間中輸入任何其他詳細數據,並指出您是否要 Microsoft 傳送電子郵件給您以回應您的意見反應。

  6. 從您的工作區選取 [移除 Microsoft Sentinel]。

    Screenshot that shows the section to remove the Microsoft Sentinel solution from your workspace.

考慮價格變更

從工作區移除 Microsoft Sentinel 時,可能仍有與 Azure 監視器 Log Analytics 中的數據相關聯的成本。 如需承諾層成本影響的詳細資訊,請參閱 簡化計費下架行為

檢閱含意

Microsoft Sentinel 最多可能需要 48 小時的時間才能從 Log Analytics 工作區中移除。 刪除數據連接器組態和 Microsoft Sentinel 數據表。 其他資源和數據會保留一段時間。

您的訂用帳戶會繼續向 Microsoft Sentinel 資源提供者註冊。 但是,您可以手動移除它。

已移除資料連接器組態

當您從工作區移除 Microsoft Sentinel 時,會移除下列數據連接器的設定。

  • Microsoft 365

  • Amazon Web Services

  • Microsoft 服務 安全性警示:

    • 適用於身分識別的 Microsoft Defender
    • 適用於雲端的 Microsoft Defender 應用程式,包括 Cloud Discovery Shadow IT 報告
    • Microsoft Entra ID Protection
    • 適用於端點的 Microsoft Defender
    • 適用於雲端的 Microsoft Defender

  • 威脅情報

  • 常見的安全性記錄,包括 CEF 型記錄、Barracuda 和 Syslog。 如果您從 適用於雲端的 Microsoft Defender 取得安全性警示,則會繼續收集這些記錄。

  • Windows 安全性事件。 如果您從 適用於雲端的 Microsoft Defender 取得安全性警示,則會繼續收集這些記錄。

在前 48 小時內,Microsoft Sentinel 無法再存取或查詢包含即時自動化設定的數據和分析規則。

已移除資源

下列資源會在 30 天后移除:

  • 事件(包括調查元資料)

  • 分析規則

  • 書籤

不會移除您的劇本、已儲存的活頁簿、儲存的搜捕查詢和筆記本。 部分資源可能會因為移除的數據而中斷。 手動移除這些資源。

拿掉服務之後,重新啟用 Microsoft Sentinel 的寬限期為 30 天。 您的數據和分析規則會還原,但已中斷連線的已設定連接器必須重新連線。

已刪除 Microsoft Sentinel 資料表

當您從工作區中移除 Microsoft Sentinel 時,會刪除所有 Microsoft Sentinel 數據表。 這些數據表中的數據無法存取或可查詢。 但是,針對這些數據表所設定的數據保留原則會套用至已刪除數據表中的數據。 因此,如果您在數據保留期間內於工作區上重新啟用 Microsoft Sentinel,則會將保留的數據還原至這些數據表。

當您移除 Microsoft Sentinel 時無法存取的數據表和相關數據,但不限於下列數據表:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent

下一步

在本檔中,您已瞭解如何移除 Microsoft Sentinel 服務。 如果您變更主意並想要再次安裝它,請參閱 快速入門:將 Microsoft Sentinel 上線。