작업 영역에서 Microsoft Sentinel 제거

Microsoft Sentinel을 더 이상 사용하지 않으려면 이 문서에서는 Log Analytics 작업 영역에서 제거하는 방법을 설명합니다. 이러한 단계를 완료하기 전에 Microsoft Sentinel 제거의 의미를 검토합니다.

Microsoft Sentinel 제거

Log Analytics 작업 영역에서 Microsoft Sentinel을 제거하려면 다음 단계를 완료합니다.

1. Azure Portal의 Microsoft Sentinel의 경우 구성에서 설정 선택합니다.

2. 설정 페이지에서 설정 탭을 선택합니다.

3. 목록 맨 아래에서 Microsoft Sentinel 제거를 선택합니다.

   

4. 진행하기 전에 알고 있는 내용을 검토하세요. 섹션과 이 문서의 나머지 부분을 주의 깊게 검토하세요. 계속하기 전에 필요한 모든 작업을 수행합니다.

5. 적절한 검사 상자를 선택하여 Microsoft Sentinel을 제거하는 이유를 알려주세요. 제공된 공간에 다른 세부 정보를 입력하고 피드백에 대한 응답으로 Microsoft에서 전자 메일을 보낼지 여부를 나타냅니다.

6. 작업 영역에서 Microsoft Sentinel 제거를 선택합니다.

   

가격 책정 변경 고려

작업 영역에서 Microsoft Sentinel을 제거하면 Azure Monitor Log Analytics의 데이터와 관련된 비용이 계속 발생할 수 있습니다. 약정 계층 비용에 미치는 영향에 대한 자세한 내용은 간소화된 청구 오프보딩 동작을 참조하세요.

의미 검토

Log Analytics 작업 영역에서 Microsoft Sentinel을 제거하는 데 최대 48시간이 걸릴 수 있습니다. 데이터 커넥터 구성 및 Microsoft Sentinel 테이블이 삭제됩니다. 다른 리소스 및 데이터는 제한된 시간 동안 보존됩니다.

구독은 Microsoft Sentinel 리소스 공급자에 계속 등록됩니다. 그러나 수동으로 제거할 수 있습니다.

데이터 커넥터 구성이 제거됨

작업 영역에서 Microsoft Sentinel을 제거하면 다음 데이터 커넥터에 대한 구성이 제거됩니다.

• Microsoft 365

• Amazon Web Services

• Microsoft 서비스 보안 경고:

  • Microsoft Defender for Identity
  • Cloud Discovery Shadow IT 보고를 포함한 클라우드용 Microsoft Defender 앱
  • Microsoft Entra ID 보호
  • 엔드포인트에 대한 Microsoft Defender
  • Microsoft Defender for Cloud

• 위협 인텔리전스

• CEF 기반 로그, Barracuda 및 Syslog를 포함한 일반적인 보안 로그입니다. 클라우드용 Microsoft Defender 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.

• Windows 보안 이벤트입니다. 클라우드용 Microsoft Defender 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.

처음 48시간 이내에 실시간 자동화 구성을 포함하는 데이터 및 분석 규칙은 더 이상 Microsoft Sentinel에서 액세스할 수 없거나 쿼리할 수 없습니다.

제거된 리소스

다음 리소스는 30일 후에 제거됩니다.

• 인시던트(조사 메타 데이터 포함)

• Analytics 규칙

• 책갈피

플레이북, 저장된 통합 문서, 저장된 헌팅 쿼리 및 Notebook은 제거되지 않습니다. 이러한 리소스 중 일부는 제거된 데이터로 인해 중단될 수 있습니다. 이러한 리소스를 수동으로 제거합니다.

서비스를 제거한 후 Microsoft Sentinel을 다시 사용하도록 설정하는 유예 기간은 30일입니다. 데이터 및 분석 규칙이 복원되지만 연결이 끊긴 구성된 커넥터를 다시 연결해야 합니다.

Microsoft Sentinel 테이블이 삭제됨

작업 영역에서 Microsoft Sentinel을 제거하면 모든 Microsoft Sentinel 테이블이 삭제됩니다. 이러한 테이블의 데이터에 액세스할 수 없거나 쿼리할 수 없습니다. 그러나 해당 테이블에 대해 설정된 데이터 보존 정책은 삭제된 테이블의 데이터에 적용됩니다. 따라서 데이터 보존 기간 내에 작업 영역에서 Microsoft Sentinel을 다시 사용하도록 설정하면 보존된 데이터가 해당 테이블로 복원됩니다.

Microsoft Sentinel을 제거할 때 액세스할 수 없는 테이블 및 관련 데이터에는 다음 테이블이 포함되지만 제한되지는 않습니다.

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

다음 단계

이 문서에서는 Microsoft Sentinel 서비스를 제거하는 방법을 알아보았습니다. 마음이 바뀌고 다시 설치하려면 빠른 시작: Microsoft Sentinel 온보딩을 참조하세요.