通过

从工作区中删除 Microsoft Sentinel

  • 项目

本文介绍不再需要使用 Microsoft Sentinel 时如何将其从 Log Analytics 工作区中删除。 完成这些步骤之前,请先查看删除 Microsoft Sentinel 的含义。

删除 Microsoft Sentinel

完成以下步骤,从 Log Analytics 工作区中删除 Microsoft Sentinel。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“配置”下选择“设置”

  2. 在“设置”窗格中,选择“设置”选项卡。

  3. 在列表底部,选择“删除 Microsoft Sentinel”

    此屏幕截图用于查找从工作区中删除 Microsoft Sentinel 的设置。

  4. 请仔细阅读“操作前须知...”和本文档的其余部分。 在继续之前,请执行所有必要的操作。

  5. 请选中相应的复选框,告知我们删除 Microsoft Sentinel 的原因。 在提供的空间中输入任何其他详细信息,并表明是否希望 Microsoft 通过电子邮件回复你的反馈。

  6. 选择“从工作区中删除 Microsoft Sentinel”。

    显示从工作区移除 Microsoft Sentinel 解决方案的部分的屏幕截图。

考虑定价变化

从工作区中移除 Microsoft Sentinel 后,可能仍存在与 Azure Monitor Log Analytics 中的数据相关的成本。 若要详细了解对承诺层级成本的影响,请参阅简化计费登出行为

评价影响

从 Log Analytics 工作区中删除 Microsoft Sentinel 最多可能需要 48 小时。 数据连接器配置和 Microsoft Sentinel 表将被删除。 其他资源和数据将保留一段有限的时间。

你的订阅将继续注册到 Microsoft Sentinel 资源提供程序。 但可以手动将其删除。

删除数据连接器配置

从工作区中删除 Microsoft Sentinel 后,会删除以下数据连接器的配置。

  • Microsoft 365

  • Microsoft 服务安全警报:

    • 用于终结点的 Microsoft Defender
    • Microsoft Defender for Cloud

  • 威胁智能

  • 常见的安全日志,包括基于 CEF 的日志、Barracuda 和 Syslog。 如果从 Microsoft Defender for Cloud 收到安全警报,则将继续收集这些日志。

  • Windows 安全事件。 如果从 Microsoft Defender for Cloud 收到安全警报,则将继续收集这些日志。

在最初的 48 小时内,将不再能够在 Microsoft Sentinel 中访问或查询数据和分析规则(包括实时自动化配置)。

删除资源

以下资源在 30 天后被删除:

  • 事件(包括调查元数据)

  • 分析规则

  • 书签

不会删除你的 playbook、已保存的工作簿、已保存的搜寻查询和笔记本。 其中一些资源可能会因已删除的数据而损坏。 请手动删除这些资源。

移除服务后,有 30 天的宽限期,便于重启 Microsoft Sentinel。 数据和分析规则将会恢复,但已断开连接的已配置连接器必须重新连接。

删除 Microsoft Sentinel 表

从工作区中删除 Microsoft Sentinel 后,将删除所有 Microsoft Sentinel 表。 这些表中的数据将无法访问或查询。 但是,为这些表设置的数据保留策略适用于已删除表中的数据。 因此,如果在数据保留期内在工作区上重新启用 Microsoft Sentinel,保留的数据将还原到这些表中。

删除 Microsoft Sentinel 后无法访问的表和相关数据包括但不限于以下表:

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent

后续步骤

在本文档中,你了解了如何删除 Microsoft Sentinel 服务。 如果改变主意并想要再次安装 Microsoft Sentinel,请参阅快速入门:加入 Microsoft Sentinel