Remover o Microsoft Azure Sentinel do workspace

Se você não quiser mais usar o Microsoft Sentinel, este artigo explica como removê-lo do seu workspace do Log Analytics. Examine as implicações da remoção do Microsoft Sentinel antes de concluir estas etapas.

Remover o Microsoft Sentinel

Conclua as etapas a seguir para remover o Microsoft Sentinel do workspace do Log Analytics.

1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Configurações.

2. Na página Configurações, selecione a guia Configurações.

3. Na parte inferior da lista, selecione Remover o Microsoft Sentinel.

   

4. Examine a seção Saiba antes de ir... e o restante deste documento com cuidado. Execute todas as ações necessárias antes de prosseguir.

5. Selecione as caixas de seleção apropriadas para nos informar por que você está removendo o Microsoft Sentinel. Insira quaisquer outros detalhes no espaço fornecido e indique se deseja que a Microsoft envie um email para você em resposta aos seus comentários.

6. Selecione Remover o Microsoft Sentinel do espaço de trabalho.

   

Considerar as alterações nos preços

Quando o Microsoft Sentinel é removido de um workspace, ainda pode haver custos associados aos dados no Log Analytics do Azure Monitor. Para obter mais informações sobre o efeito nos custos do nível de compromisso, confira Comportamento simplificado da remoção da cobrança.

Examinar as implicações

Pode levar até 48 horas para que o Microsoft Sentinel seja removido do workspace do Log Analytics. A configuração do conector de dados e as tabelas do Microsoft Sentinel são excluídas. Outros recursos e dados são mantidos por um tempo limitado.

Sua assinatura continua sendo registrada no provedor de recursos do Microsoft Sentinel. Mas você pode removê-la manualmente.

Configurações do conector de dados removidas

As configurações do conector de dados a seguir são removidas quando você remove o Microsoft Sentinel do seu workspace.

• Microsoft 365

• Amazon Web Services

• Alertas de segurança dos serviços da Microsoft:

  • Microsoft Defender para Identidade
  • Microsoft Defender para Aplicativos de Nuvem, incluindo relatórios de TI do Cloud Discovery Shadow
  • Proteção de Identidade do Microsoft Entra
  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Nuvem

• Inteligência contra ameaças

• Logs de segurança comuns, incluindo logs baseados em CEF, Barracuda e Syslog. Se você receber alertas de segurança do Microsoft Defender para Nuvem, esses logs continuarão a ser coletados.

• Eventos de segurança do Windows. Se você receber alertas de segurança do Microsoft Defender para Nuvem, esses logs continuarão a ser coletados.

Nas primeiras 48 horas, as regras analíticas e de dados, que incluem a configuração da automação em tempo real, não podem mais ser acessadas nem consultadas no Microsoft Sentinel.

Recursos removidos

Os seguintes recursos são removidos após 30 dias:

• Incidentes (incluindo metadados de investigação)

• Regras de análise

• Indicadores

Os guias estratégicos, as pastas de trabalho salvas, as consultas de busca salvas e os notebooks não são removidos. Alguns desses recursos podem ser interrompidos devido aos dados removidos. Remova esses recursos manualmente.

Depois de remover o serviço, há um período de carência de 30 dias para reabilitar o Microsoft Sentinel. Suas regras de análise e dados são restauradas, mas os conectores configurados que foram desconectados devem ser reconectados.

Tabelas do Microsoft Sentinel excluídas

Quando você remove o Microsoft Sentinel do seu workspace, todas as tabelas do Microsoft Sentinel são excluídas. Os dados nessas tabelas não serão acessíveis nem poderão ser consultados. Porém, o conjunto de políticas de retenção de dados para essas tabelas se aplica aos dados nas tabelas excluídas. Portanto, se você reabilitar o Microsoft Sentinel no workspace dentro do período de retenção de dados, os dados retidos serão restaurados para essas tabelas.

As tabelas e os dados relacionados que estão inacessíveis quando você remove o Microsoft Sentinel incluem, mas não estão limitados às seguintes tabelas:

• AlertEvidence
• AlertInfo
• Anomalies
• ASimAuditEventLogs
• ASimAuthenticationEventLogs
• ASimDhcpEventLogs
• ASimDnsActivityLogs
• ASimFileEventLogs
• ASimNetworkSessionLogs
• ASimProcessEventLogs
• ASimRegistryEventLogs
• ASimUserManagementActivityLogs
• ASimWebSessionLogs
• AWSCloudTrail
• AWSCloudWatch
• AWSGuardDuty
• AWSVPCFlow
• CloudAppEvents
• CommonSecurityLog
• ConfidentialWatchlist
• DataverseActivity
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceInfo
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• DeviceTvmSecureConfigurationAssessment
• DeviceTvmSecureConfigurationAssessmentKB
• DeviceTvmSoftwareInventory
• DeviceTvmSoftwareVulnerabilities
• DeviceTvmSoftwareVulnerabilitiesKB
• DnsEvents
• DnsInventory
• Dynamics365Activity
• DynamicSummary
• EmailAttachmentInfo
• EmailEvents
• EmailPostDeliveryEvents
• EmailUrlInfo
• GCPAuditLogs
• GoogleCloudSCC
• HuntingBookmark
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• LinuxAuditLog
• McasShadowItReporting
• MicrosoftPurviewInformationProtection
• NetworkSessions
• OfficeActivity
• PowerAppsActivity
• PowerAutomateActivity
• PowerBIActivity
• PowerPlatformAdminActivity
• PowerPlatformConnectorActivity
• PowerPlatformDlpActivity
• ProjectActivity
• SecurityAlert
• SecurityEvent
• SecurityIncident
• SentinelAudit
• SentinelHealth
• ThreatIntelligenceIndicator
• UrlClickEvents
• Watchlist
• WindowsEvent

Próximas etapas

Neste documento, você aprendeu a remover o serviço Microsoft Sentinel. Se você mudar de ideia e quiser instalá-lo novamente, consulte Início Rápido: Integrar o Microsoft Sentinel.