ワークスペースから Microsoft Sentinel を削除する

この記事では、Microsoft Sentinel が不要になった場合に Log Analytics ワークスペースから削除する方法について説明します。 これらの手順を完了する前に、Microsoft Sentinel を削除する意味を確認してください。

Microsoft Sentinel を削除する

次の手順を完了してから、Log Analytics ワークスペースから Microsoft Sentinel を削除します。

  1. Azure portal の Microsoft Sentinel の場合、[構成] の下にある [設定] を選択します。

  2. [設定] ページで、[設定] タブを選択します。

  3. 一覧の一番下にある、[Microsoft Sentinel を削除する] を選択します。

    Screenshot to find the setting to remove Microsoft Sentinel from your workspace.

  4. [出発前に知っておくこと...] セクションとこのドキュメントの残りの部分を慎重に確認してください。 先に進む前に、必要な措置をすべて講じてください。

  5. 該当するチェックボックスを選択して、Microsoft Sentinel を削除する理由をお知らせください。 その他の詳細があれば提供されたスペースに入力し、フィードバックに対する回答をメールで送信することを Microsoft に求めるか示します。

  6. [ワークスペースから Microsoft Sentinel を削除する] を選択します。

    Screenshot that shows the section to remove the Microsoft Sentinel solution from your workspace.

価格の変更を検討する

Microsoft Sentinel をワークスペースから削除しても、Azure Monitor Log Analytics のデータに関連するコストが発生する場合があります。 コミットメント レベルのコストへの影響の詳細については、「簡略化された課金のオフボード動作」を参照してください。

レビューの影響

Microsoft Sentinel が Log Analytics ワークスペースから削除されるまで最大 48 時間かかる場合があります。 データ コネクタの構成と Microsoft Sentinel テーブルが削除されました。 その他のリソースやデータは期間限定で保持されます。

サブスクリプションは Microsoft Sentinel リソース プロバイダーに登録されたままになります。 ただし、これは手動で削除できます。

データ コネクタの構成の削除

ワークスペースから Microsoft Sentinel を削除すると、次のデータ コネクタの構成が削除されます。

  • Microsoft 365

  • アマゾン ウェブ サービス

  • Microsoft サービスのセキュリティ アラート:

    • Microsoft Defender for Identity
    • Cloud Discovery シャドウ IT レポートなどの Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • Microsoft Defender for Endpoint
    • Microsoft Defender for Cloud
  • 脅威インテリジェンス

  • CEF ベースのログ、Barracuda、Syslog などの一般的なセキュリティ ログ。 Microsoft Defender for Cloud からセキュリティ アラートを取得する場合、これらのログは引き続き収集されます。

  • Windows セキュリティ イベント。 Microsoft Defender for Cloud からセキュリティ アラートを取得する場合、これらのログは引き続き収集されます。

最初の 48 時間以内に、Microsoft Sentinel のデータと分析ルール (リアルタイム自動構成を含む) にアクセスできなくなります。また、クエリを実行できなくなります。

リソースの削除

次のリソースは、30 日後に削除されます:

  • インシデント (調査メタデータを含む)

  • 分析ルール

  • ブックマーク

プレイブック、保存したブック、保存した検索クエリ、ノートブックは削除されません。 これらのリソースの一部は、削除したデータが原因で壊れる場合があります。 これらのリソースは手動で削除する必要があります。

サービスの削除後、Microsoft Sentinel を再有効化するための 30 日間の猶予期間があります。 データと分析のルールは復元されますが、構成されているコネクタが切断された場合、再接続する必要があります。

Microsoft Sentinel テーブルの削除

ワークスペースから Microsoft Sentinel を削除すると、すべての Microsoft Sentinel テーブルが削除されます。 これらのテーブルのデータにアクセスできなくなります。また、クエリを実行できなくなります。 ただし、これらのテーブルに設定されたデータ保持ポリシーは、削除されたテーブルのデータにも適用されます。 そのため、データ保持期間内にワークスペースで Microsoft Sentinel を再度有効にすると、保持されていたデータがそれらのテーブルに復元されます。

Microsoft Sentinel を削除するとアクセスできなくなるテーブルと関連データには、次のテーブルが含まれますが、これらに限定されません。

  • AlertEvidence
  • AlertInfo
  • Anomalies
  • ASimAuditEventLogs
  • ASimAuthenticationEventLogs
  • ASimDhcpEventLogs
  • ASimDnsActivityLogs
  • ASimFileEventLogs
  • ASimNetworkSessionLogs
  • ASimProcessEventLogs
  • ASimRegistryEventLogs
  • ASimUserManagementActivityLogs
  • ASimWebSessionLogs
  • AWSCloudTrail
  • AWSCloudWatch
  • AWSGuardDuty
  • AWSVPCFlow
  • CloudAppEvents
  • CommonSecurityLog
  • ConfidentialWatchlist
  • DataverseActivity
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DnsEvents
  • DnsInventory
  • Dynamics365Activity
  • DynamicSummary
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • GCPAuditLogs
  • GoogleCloudSCC
  • HuntingBookmark
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • LinuxAuditLog
  • McasShadowItReporting
  • MicrosoftPurviewInformationProtection
  • NetworkSessions
  • OfficeActivity
  • PowerAppsActivity
  • PowerAutomateActivity
  • PowerBIActivity
  • PowerPlatformAdminActivity
  • PowerPlatformConnectorActivity
  • PowerPlatformDlpActivity
  • ProjectActivity
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SentinelAudit
  • SentinelHealth
  • ThreatIntelligenceIndicator
  • UrlClickEvents
  • Watchlist
  • WindowsEvent

次のステップ

このドキュメントでは、Microsoft Sentinel サービスを削除する方法について学習しました。 考えが変わり、もう一度インストールすることになったら、「クイック スタート: Microsoft Sentinel をオンボードする」を参照してください。