Log Analytics 작업 영역과 연결된 Microsoft Sentinel instance 더 이상 사용하지 않으려면 작업 영역에서 Microsoft Sentinel 제거합니다. 하지만 그 전에 이 문서에 설명된 의미를 고려해 보세요.
Log Analytics 작업 영역에서 Microsoft Sentinel 제거하는 데 최대 48시간이 걸릴 수 있습니다. 데이터 커넥터 구성 및 Microsoft Sentinel 테이블이 삭제됩니다. 다른 리소스 및 데이터는 제한된 시간 동안 보존됩니다.
구독은 Microsoft Sentinel 리소스 공급자에 계속 등록됩니다. 그러나 수동으로 제거할 수 있습니다.
Microsoft Sentinel 위해 수집된 작업 영역 및 데이터를 유지하지 않으려면 Azure Portal 작업 영역과 연결된 리소스를 삭제합니다.
가격 변경 내용
작업 영역에서 Microsoft Sentinel 제거된 경우에도 Log Analytics 모니터링의 데이터와 관련된 비용이 Azure 수 있습니다. 약정 계층 비용에 미치는 영향에 대한 자세한 내용은 간소화된 청구 오프보딩 동작을 참조하세요.
데이터 커넥터 구성 제거됨
작업 영역에서 Microsoft Sentinel 제거하면 다음 데이터 커넥터에 대한 구성이 제거됩니다.
Microsoft 365
Amazon Web Services
Microsoft 서비스 보안 경고:
- ID용 Microsoft Defender
- Cloud Discovery Shadow IT 보고를 포함한 Microsoft Defender for Cloud Apps
- Microsoft Entra ID Protection
- 엔드포인트용 Microsoft Defender
- Microsoft Defender for Cloud
위협 인텔리전스
CEF 기반 로그, Barracuda 및 Syslog를 포함한 일반적인 보안 로그입니다. Microsoft Defender for Cloud에서 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.
Windows 보안 이벤트. Microsoft Defender for Cloud에서 보안 경고를 받으면 이러한 로그는 계속 수집됩니다.
처음 48시간 이내에 실시간 자동화 구성을 포함하는 데이터 및 분석 규칙은 Microsoft Sentinel 더 이상 액세스할 수 없거나 쿼리할 수 없습니다.
제거된 리소스
다음 리소스는 30일 후에 제거됩니다.
인시던트(조사 메타데이터 포함)
분석 규칙
책갈피
플레이북, 저장된 통합 문서, 저장된 헌팅 쿼리 및 Notebook은 제거되지 않습니다. 이러한 리소스 중 일부는 제거된 데이터로 인해 중단될 수 있습니다. 이러한 리소스를 수동으로 제거합니다.
서비스를 제거한 후 Microsoft Sentinel 다시 사용하도록 설정하는 유예 기간은 30일입니다. 데이터 및 분석 규칙이 복원되지만 연결이 끊긴 구성된 커넥터를 다시 연결해야 합니다.
삭제된 테이블 Microsoft Sentinel
작업 영역에서 Microsoft Sentinel 제거하면 모든 Microsoft Sentinel 테이블이 삭제됩니다. 이러한 테이블의 데이터는 액세스할 수 없거나 쿼리할 수 없습니다. 그러나 해당 테이블에 대해 설정된 데이터 보존 정책은 삭제된 테이블의 데이터에 적용됩니다. 따라서 데이터 보존 기간 내에 작업 영역에서 Microsoft Sentinel 다시 사용하도록 설정하면 보존된 데이터가 해당 테이블로 복원됩니다.
제거할 때 액세스할 수 없는 테이블 및 관련 데이터는 Microsoft Sentinel 포함되지만 다음 테이블로 제한되지는 않습니다.
AlertEvidenceAlertInfoAnomaliesASimAuditEventLogsASimAuthenticationEventLogsASimDhcpEventLogsASimDnsActivityLogsASimFileEventLogsASimNetworkSessionLogsASimProcessEventLogsASimRegistryEventLogsASimUserManagementActivityLogsASimWebSessionLogsAWSCloudTrailAWSCloudWatchAWSGuardDutyAWSVPCFlowCloudAppEventsCommonSecurityLogConfidentialWatchlistDataverseActivityDeviceEventsDeviceFileCertificateInfoDeviceFileEventsDeviceImageLoadEventsDeviceInfoDeviceLogonEventsDeviceNetworkEventsDeviceNetworkInfoDeviceProcessEventsDeviceRegistryEventsDeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessmentKBDeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilitiesKBDnsEventsDnsInventoryDynamics365ActivityDynamicSummaryEmailAttachmentInfoEmailEventsEmailPostDeliveryEventsEmailUrlInfoGCPAuditLogsGoogleCloudSCCHuntingBookmarkIdentityDirectoryEventsIdentityLogonEventsIdentityQueryEventsLinuxAuditLogMcasShadowItReportingMicrosoftPurviewInformationProtectionNetworkSessionsOfficeActivityPowerAppsActivityPowerAutomateActivityPowerBIActivityPowerPlatformAdminActivityPowerPlatformConnectorActivityPowerPlatformDlpActivityProjectActivitySecurityAlertSecurityEventSecurityIncidentSentinelAuditSentinelHealthThreatIntelligenceIndicatorUrlClickEventsWatchlistWindowsEvent