Condividi tramite


Ridurre i costi per Microsoft Sentinel

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come ridurre i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Impostare o modificare il piano tariffario

Per ottimizzare i risparmi, monitorare il volume di inserimento per assicurarsi di avere il livello di impegno più adatto ai modelli di volume di inserimento. Prendere in considerazione l'aumento o la riduzione del livello di impegno per allinearsi ai volumi di dati modificati.

È possibile aumentare il livello di impegno in qualsiasi momento; questa operazione riavvia il periodo di impegno di 31 giorni. Tuttavia, per tornare al piano con pagamento in base al consumo o a un livello di impegno inferiore, è necessario attendere il termine del periodo di impegno di 31 giorni. La fatturazione per i livelli di impegno è giornaliera.

Per visualizzare il piano tariffario corrente di Microsoft Sentinel, selezionare Impostazioni nel pannello di navigazione a sinistra di Microsoft Sentinel, quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Livello corrente.

Per modificare l'impegno del piano tariffario, selezionare uno degli altri livelli nella pagina dei prezzi, quindi selezionare Applica. Per modificare il piano tariffario, è necessario avere il ruolo di Collaboratore o Proprietario per l'area di lavoro di Microsoft Sentinel.

Screenshot della pagina dei prezzi nelle impostazioni di Microsoft Sentinel, con il pagamento in base al consumo selezionato come piano tariffario corrente.

Per altre informazioni su come monitorare i costi, vedere Gestire e monitorare i costi per Microsoft Sentinel.

Per le aree di lavoro che usano ancora piani tariffari classici, i piani tariffari di Microsoft Sentinel non includono gli addebiti di Log Analytics. Per altre informazioni, vedere Piani tariffari semplificati.

Comprare un piano di acquisto anticipato

È possibile risparmiare sui costi di Microsoft Sentinel con l'acquisto anticipato di unità di commit di Microsoft Sentinel. Le unità di commit acquistate in anticipo possono essere utilizzate in qualsiasi momento durante il periodo di acquisto di un anno.

Tutti i costi idonei di Microsoft Sentinel vengono detratti automaticamente dalle unità di commit acquistate in anticipo. Non è necessario ridistribuire o assegnare un piano di acquistato anticipato alle aree di lavoro di Microsoft Sentinel per applicare gli sconti dell'acquisto anticipato all'utilizzo delle unità di commit.

Per altre informazioni, vedere Ottimizzare i costi di Microsoft Sentinel con un piano di acquisto anticipato

Separare i dati non di sicurezza in un'area di lavoro diversa

Microsoft Sentinel analizza tutti i dati inseriti nelle aree di lavoro di Log Analytics abilitate per Microsoft Sentinel. È consigliabile disporre di un'area di lavoro separata per i dati delle operazioni non di sicurezza, per assicurarsi che non vengano addebitati costi di Microsoft Sentinel.

Durante la ricerca o l'analisi delle minacce in Microsoft Sentinel, potrebbe essere necessario accedere ai dati operativi archiviati in queste aree di lavoro di Azure Log Analytics autonome. È possibile accedere a questi dati usando l'esecuzione di query tra aree di lavoro nell'esperienza di esplorazione dei log e nelle cartelle di lavoro. Tuttavia, non è possibile usare regole di analisi tra aree di lavoro e query di ricerca, a meno che Microsoft Sentinel non sia abilitato in tutte le aree di lavoro.

Selezionare i tipi di log a basso costo per dati con volumi elevati e di basso valore

Anche se i log di analitica standard sono più appropriati per il rilevamento continuo e in tempo reale delle minacce, altri due tipi di log, log di base e log ausiliari, sono più adatti per l'esecuzione di query ad hoc e la ricerca di log dettagliati, con volumi elevati e di basso valore che non sono spesso necessari o a cui si accede su richiesta. Abilitare l'inserimento dei dati di log di base a un costo notevolmente ridotto o l'inserimento dati del log ausiliario (ora in anteprima) a un costo ancora inferiore, per le tabelle di dati idonee. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

Ottimizzare i costi di Log Analytics con cluster dedicati

Se si inseriscono almeno 100 GB nell'area di lavoro o nelle aree di lavoro di Microsoft Sentinel nella stessa area, è consigliabile passare a un cluster dedicato di Log Analytics per ridurre i costi. Un livello impegno cluster dedicato di Log Analytics aggrega il volume di dati tra aree di lavoro che inseriscono collettivamente un totale di 100 GB o più. Per altre informazioni, vedere Piano tariffario semplificato per il cluster dedicato.

È possibile aggiungere più aree di lavoro di Microsoft Sentinel a un cluster dedicato di Log Analytics. L'uso di un cluster dedicato di Log Analytics per Microsoft Sentinel offre alcuni vantaggi:

  • Le query tra aree di lavoro vengono eseguite più velocemente se tutte le aree di lavoro coinvolte nella query si trovano nel cluster dedicato. È comunque consigliabile avere il minor numero possibile di aree di lavoro nell'ambiente, e un cluster dedicato mantiene comunque il limite di 100 aree di lavoro per l'inclusione in una singola query tra aree di lavoro.

  • Tutte le aree di lavoro nel cluster dedicato possono condividere il livello di impegno di Log Analytics impostato nel cluster. Non dover eseguire il commit per separare i livelli di impegno di Log Analytics per ogni area di lavoro può consentire di risparmiare in termini di costi ed efficienza. Abilitando un cluster dedicato, si esegue il commit a un livello di impegno minimo di Log Analytics di 100 GB al giorno.

Ecco alcune altre considerazioni per il passaggio a un cluster dedicato per l'ottimizzazione dei costi:

  • Il numero massimo di cluster per area geografica e sottoscrizione è due.
  • Tutte le aree di lavoro collegate a un cluster devono trovarsi nella stessa area geografica.
  • Il numero massimo di aree di lavoro collegate a un cluster è 1000.
  • È possibile scollegare un'area di lavoro collegata dal cluster. Il numero di operazioni di collegamento in un'area di lavoro specifica è limitato a due in un periodo di 30 giorni.
  • Non è possibile spostare un'area di lavoro esistente in un cluster della chiave gestita dal cliente (CMK). È necessario creare l'area di lavoro nel cluster.
  • Lo spostamento di un cluster in un altro gruppo di risorse o sottoscrizione non è attualmente supportato.
  • Un collegamento dell'area di lavoro a un cluster ha esito negativo se l'area di lavoro è collegata a un altro cluster.

Per altre informazioni sui cluster dedicati, vedere Cluster dedicati di Log Analytics.

Ridurre i costi di conservazione dei dati con la conservazione a lungo termine

Per impostazione predefinita, Microsoft Sentinel conserva i dati in formato interattivo per i primi 90 giorni. Per modificare il periodo di conservazione dei dati in Log Analytics, selezionare Utilizzo e costi stimati nel riquadro di spostamento a sinistra, quindi selezionare Conservazione dei dati e regolare il dispositivo di scorrimento.

I dati di sicurezza di Microsoft Sentinel potrebbero perdere alcuni dei relativi valori dopo alcuni mesi. Gli utenti del centro operazioni per la sicurezza (SOC) potrebbero non dover accedere ai dati meno recenti con la stessa frequenza dei dati più recenti, ma potrebbero comunque dover accedere ai dati per indagini sporadiche o scopi di controllo.

Per ridurre i costi di conservazione dei dati di Microsoft Sentinel, Monitoraggio di Azure offre ora la conservazione a lungo termine. I dati che escono dallo stato di conservazione interattivo possono comunque essere conservati per un massimo di dodici anni, a un costo molto ridotto e con limitazioni sull'utilizzo. Per altre informazioni, vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.

È possibile ridurre ulteriormente i costi registrando tabelle contenenti dati di sicurezza secondari nel piano dei Log ausiliari (ora in Anteprima). Questo piano consente di archiviare log dal volume elevato e a basso valore a un prezzo ridotto, con un periodo di conservazione interattivo di 30 giorni inferiore all'inizio per consentire il riepilogo e l'esecuzione di query di base. Per altre informazioni sul piano dei log ausiliari e altri piani, vedere Piani di conservazione dei log in Microsoft Sentinel. Anche se il piano dei log ausiliari rimane in anteprima, è anche possibile registrare queste tabelle nel piano di log di base. I log di base offrono funzionalità simili ai log ausiliari, ma con meno risparmi sui costi.

Usare le regole di raccolta dei dati per gli eventi di Sicurezza di Windows

Il connettore Eventi di Sicurezza di Windows consente di trasmettere eventi di sicurezza da qualsiasi computer che esegue Windows Server connesso all'area di lavoro di Microsoft Sentinel, inclusi server fisici, virtuali o locali o in qualsiasi cloud. Questo connettore include il supporto per l'agente di Monitoraggio di Azure, che usa regole di raccolta dati per definire i dati da raccogliere da ogni agente.

Le regole di raccolta dei dati consentono di gestire le impostazioni di raccolta su larga scala, supportando comunque configurazioni univoche mirate per subset di computer. Per altre informazioni, vedere Configurare la raccolta dati per l'agente di Monitoraggio di Azure.

Oltre ai set predefiniti di eventi che è possibile selezionare per l'inserimento, ad esempio Tutti gli eventi, Minimo o Comune, le regole di raccolta dei dati consentono di creare filtri personalizzati e selezionare eventi specifici da inserire. L'agente di Monitoraggio di Azure usa queste regole per filtrare i dati nell'origine e quindi inserire solo gli eventi selezionati, lasciando indietro tutto il resto. La selezione di eventi specifici da inserire consente di ottimizzare i costi e aumentare il risparmio.

Passaggi successivi