Log Analytics ワークスペースから Microsoft Sentinel を削除した際に、削除される”お客様のデータ”とは?
Log Analytics ワークスペースから Microsoft Sentinel を削除しようとすると以下の警告が出ます。
「お客様のデータがすべて削除されてしれます」と表示されていますが、「お客様のデータ」とは何を指すのでしょうか。
(参照しているサイト)Log Analytics ワークスペースから Microsoft Sentinel を削除する手順
https://learn.microsoft.com/ja-jp/azure/sentinel/offboard?tabs=defender-portal
結論:Microsoft Sentinelに関連するテーブルが削除される
Log Analytics ワークスペースから Microsoft Sentinel を削除した場合、Microsoft Sentinel に関連するテーブル(例:SecurityAlert、SecurityIncident、AlertEvidence など)が削除されます。
削除対象のテーブルの詳細については、以下の公開情報が参考になります。
<Microsoft Sentinel テーブルの削除>
https://learn.microsoft.com/ja-jp/azure/sentinel/offboard-implications#microsoft-sentinel-tables-deleted
Microsoft Sentinelに関連するテーブルとは
Microsoft Sentinel テーブルにつきましては、主に Microsoft Sentinel の機能 (例 : 分析ルール、データ コネクタ、など) にて生成・収集および使用されるテーブルのことです(Sentinel での各種操作により新たにテーブルが作られます)
たとえば、「SecurityAlert」というテーブルですが、分析ルールによって生成されたセキュリティアラートが格納されます。
また、「DeviceEvents」というテーブルは、Microsoft Defender for Endpoint コネクタ使用時に新たに作成されます。(データコネクタによっては、既存のテーブルを取り込むだけで、新たにテーブルを生成しないものもあります)
上記(削除されるのは)はあくまでMicrosoft Sentinelに関連するテーブルであり、Sentinel を有効化する前からLog Analytics ワークスペースに存在していたログ(SigninLogsなど)は削除されません。
なお、Microsoft Sentinel 削除後、Microsoft Sentinelに関連するテーブルを Log Analytics ワークスペースに保持し続ける方法はありません(2025/8/7時点)