Entfernen von Microsoft Sentinel aus Ihrem Arbeitsbereich
Wenn Sie Microsoft Sentinel nicht mehr verwenden möchten, erfahren Sie in diesem Artikel, wie Sie es aus Ihrem Log Analytics-Arbeitsbereich entfernen können. Überprüfen Sie die Auswirkungen des Entfernens von Microsoft Sentinel, bevor Sie diese Schritte ausführen.
Entfernen von Microsoft Sentinel
Führen Sie die folgenden Schritte aus, um Microsoft Sentinel aus Ihrem Log Analytics-Arbeitsbereich zu entfernen.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfiguration die Option Einstellungen aus.
Wählen Sie auf der Seite Einstellungen die Registerkarte Einstellungen aus.
Wählen Sie unten in der Liste Microsoft Sentinel entfernen aus.
Überprüfen Sie den Abschnitt Wissen, bevor Sie fortfahren... und den Rest dieses Dokuments sorgfältig. Führen Sie alle erforderlichen Aktionen aus, bevor Sie fortfahren.
Aktivieren Sie die entsprechenden Kontrollkästchen, um uns mitzuteilen, warum Sie Microsoft Sentinel entfernen. Geben Sie alle anderen Details in das bereitgestellte Feld ein, und geben Sie an, ob Sie möchten, dass Microsoft Ihnen eine E-Mail als Antwort auf Ihr Feedback sendet.
Wählen Sie Entfernen von Microsoft Sentinel aus Ihrem Arbeitsbereich aus.
Berücksichtigen von Preisänderungen
Wenn Microsoft Sentinel aus einem Arbeitsbereich entfernt wird, können weiterhin Kosten für die Daten in Azure Monitor-Log Analytics anfallen. Weitere Informationen zu den Auswirkungen auf die Kosten des Verpflichtungstarifs finden Sie unter Vereinfachtes Offboardingverhalten der Abrechnung.
Überprüfen der Auswirkungen
Es kann bis zu 48 Stunden dauern, bis Microsoft Sentinel aus dem Log Analytics-Arbeitsbereich entfernt ist. Die Konfiguration für den Datenkonnektor und Microsoft Sentinel-Tabellen werden gelöscht. Andere Ressourcen und Daten werden für einen begrenzten Zeitraum aufbewahrt.
Ihr Abonnement bleibt weiterhin beim Microsoft Sentinel-Ressourcenanbieter registriert. Sie können dies jedoch manuell entfernen.
Die Konfigurationen für den Datenkonnektor wurden entfernt
Die Konfigurationen für den folgenden Datenconnector werden entfernt, wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen.
Microsoft 365
Amazon Web Services
Sicherheitsbenachrichtigungen von Microsoft-Diensten:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud-Apps einschließlich Durchführen des Cloud Discovery-Shadowing für die IT-Berichterstellung
- Microsoft Entra ID-Schutz
- Microsoft Defender für den Endpunkt
- Microsoft Defender für Cloud
Threat Intelligence
Allgemeine Sicherheitsprotokolle, einschließlich CEF-basierte Protokolle, Barracuda und Syslog. Wenn Sie Sicherheitswarnungen von Microsoft Defender for Cloud erhalten, werden diese Protokolle weiterhin gesammelt.
Windows-Sicherheitsereignisse. Wenn Sie Sicherheitswarnungen von Microsoft Defender for Cloud erhalten, werden diese Protokolle weiterhin gesammelt.
Innerhalb der ersten 48 Stunden kann auf die Daten und Analyseregeln in Microsoft Sentinel, einschließlich Echtzeit-Automatisierungskonfiguration, nicht mehr zugegriffen werden, und sie können auch nicht mehr abgefragt werden.
Ressourcen wurden entfernt
Die folgenden Ressourcen werden nach 30 Tagen entfernt:
Incidents (einschließlich Untersuchungsmetadaten)
Analyseregeln
Lesezeichen
Ihre Playbooks, gespeicherten Arbeitsmappen, gespeicherten Suchabfragen und Notebooks werden nicht entfernt. Einige dieser Ressourcen können aufgrund der entfernten Daten unterbrochen werden. Entfernen Sie diese Ressourcen manuell.
Nachdem Sie den Dienst entfernt haben, gibt es eine Karenzzeit von 30 Tagen, um Microsoft Sentinel erneut zu aktivieren. Ihre Daten und Analyseregeln werden wiederhergestellt, aber die konfigurierten Konnektoren, die getrennt wurden, müssen erneut verbunden werden.
Microsoft Sentinel-Tabellen wurden gelöscht
Wenn Sie Microsoft Sentinel aus Ihrem Arbeitsbereich entfernen, werden alle Microsoft Sentinel-Tabellen gelöscht. Auf die Daten in diesen Tabellen kann nicht mehr zugegriffen werden, und sie können auch nicht mehr abgefragt werden. Die für diese Tabellen festgelegte Datenaufbewahrungsrichtlinie gilt jedoch für die Daten in den gelöschten Tabellen. Wenn Sie Microsoft Sentinel also innerhalb des Datenaufbewahrungszeitraums im Arbeitsbereich wieder aktivieren, werden die aufbewahrten Daten in diese Tabellen wiederhergestellt.
Zu den Tabellen und zugehörigen Daten, auf die nicht mehr zugegriffen werden kann, wenn Sie Microsoft Sentinel entfernen, gehören unter anderem die folgenden Tabellen:
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent
Nächste Schritte
In diesem Dokument wurde beschrieben, wie Sie den Microsoft Sentinel-Dienst entfernen. Wenn Sie Ihre Meinung ändern und es erneut installieren möchten, lesen Sie Schnellstart: Onboarding von Microsoft Sentinel durchführen.