Udostępnij za pośrednictwem


Zarządzanie kosztami usługi Microsoft Sentinel i monitorowanie ich

Po rozpoczęciu korzystania z zasobów usługi Microsoft Sentinel użyj funkcji usługi Cost Management, aby ustawić budżety i monitorować koszty. Możesz również przejrzeć prognozowane koszty i zidentyfikować trendy wydatków, aby zidentyfikować obszary, w których warto działać.

Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak zarządzać kosztami usługi Microsoft Sentinel i monitorować je, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby wyświetlić dane kosztów i przeprowadzić analizę kosztów w usłudze Cost Management, musisz mieć obsługiwany typ konta platformy Azure z co najmniej dostępem do odczytu.

Chociaż analiza kosztów w usłudze Cost Management obsługuje większość typów kont platformy Azure, nie wszystkie są obsługiwane. Aby wyświetlić pełną listę obsługiwanych typów kont, zobacz Omówienie danych usługi Cost Management.

Aby uzyskać informacje na temat przypisywania dostępu do danych usługi Microsoft Cost Management, zobacz Przypisywanie dostępu do danych.

Wyświetlanie kosztów przy użyciu analizy kosztów

W miarę korzystania z zasobów platformy Azure w usłudze Microsoft Sentinel koszty są naliczane. Koszty jednostek użycia zasobów platformy Azure różnią się w zależności od interwałów czasu, takich jak sekundy, minuty, godziny i dni, lub według użycia jednostek, takich jak bajty i megabajty. Gdy tylko usługa Microsoft Sentinel zacznie analizować rozliczane dane, wiąże się z kosztami. Wyświetl te koszty przy użyciu analizy kosztów w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Rozpoczynanie korzystania z analizy kosztów.

Podczas korzystania z analizy kosztów można wyświetlać koszty usługi Microsoft Sentinel na wykresach i tabelach dla różnych interwałów czasu. Niektóre przykłady to dzień, bieżący i poprzedni miesiąc oraz rok. Można również wyświetlać koszty w odniesieniu do budżetów i prognozowanych kosztów. Przełączanie się do dłuższych widoków w czasie może pomóc w identyfikowaniu trendów wydatków. Zobaczysz, gdzie mogły wystąpić nadmierne wydatki. Jeśli utworzono budżety, możesz również łatwo zobaczyć, gdzie są one przekraczane.

Centrum Zarządzania kosztami i rozliczeń firmy Microsoft zapewnia przydatne funkcje. Po otwarciu usługi Cost Management + Billing w witrynie Azure Portal wybierz pozycję Cost Management w obszarze nawigacji po lewej stronie, a następnie wybierz zakres lub zestaw zasobów do zbadania, na przykład subskrypcję platformy Azure lub grupę zasobów.

Ekran Analiza kosztów przedstawia szczegółowe widoki użycia i kosztów platformy Azure z opcją stosowania różnych kontrolek i filtrów.

Aby na przykład wyświetlić wykresy kosztów dziennych dla określonego przedziału czasu:

  1. Wybierz daszek listy rozwijanej w polu Widok i wybierz pozycję Skumulowane koszty lub Koszty dzienne.

  2. Wybierz daszek listy rozwijanej w polu daty i wybierz zakres dat.

  3. Wybierz daszek listy rozwijanej obok pozycji Stopień szczegółowości i wybierz pozycję Codziennie.

    Koszty pokazane na poniższej ilustracji są przeznaczone tylko do celów przykładowych. Nie są one przeznaczone do odzwierciedlenia rzeczywistych kosztów.

    Zrzut ekranu przedstawiający ekran analiza kosztów i zarządzania kosztami rozliczeń.

Można również zastosować dalsze kontrolki. Aby na przykład wyświetlić tylko koszty skojarzone z usługą Microsoft Sentinel, wybierz pozycję Dodaj filtr, wybierz pozycję Nazwa usługi, a następnie wybierz nazwy usług Sentinel, Log Analytics i Azure Monitor.

Woluminy pozyskiwania danych usługi Microsoft Sentinel są wyświetlane w obszarze Szczegółowe informacje o zabezpieczeniach w niektórych wykresach użycia portalu.

Klasyczne warstwy cenowe usługi Microsoft Sentinel nie obejmują opłat za usługę Log Analytics, więc te opłaty mogą być naliczane oddzielnie. Uproszczone ceny w usłudze Microsoft Sentinel łączą dwa koszty w jeden zestaw warstw. Aby dowiedzieć się więcej na temat uproszczonych warstw cenowych usługi Microsoft Sentinel, zobacz Uproszczone warstwy cenowe.

Aby uzyskać więcej informacji na temat obniżania kosztów, zobacz Create budgets and Reduce costs in Microsoft Sentinel (Tworzenie budżetów i obniżanie kosztów w usłudze Microsoft Sentinel).

Korzystanie z przedpłaty za platformę Azure w usłudze Microsoft Sentinel

Możesz płacić za opłaty za usługę Microsoft Sentinel przy użyciu środków przedpłaty za platformę Azure. Nie można jednak użyć środków przedpłaty za platformę Azure do płacenia rachunków organizacjom innym niż Microsoft za ich produkty i usługi ani produktów z witryny Azure Marketplace.

Uruchamianie zapytań w celu zrozumienia pozyskiwania danych

Usługa Microsoft Sentinel używa rozbudowanego języka zapytań do analizowania, interakcji i uzyskiwania szczegółowych informacji z ogromnych ilości danych operacyjnych w ciągu kilku sekund. Poniżej przedstawiono niektóre zapytania Kusto, których można użyć do zrozumienia ilości pozyskiwania danych.

Uruchom następujące zapytanie, aby wyświetlić wolumin pozyskiwania danych według rozwiązania:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Uruchom następujące zapytanie, aby wyświetlić wolumin pozyskiwania danych według typu danych:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Uruchom następujące zapytanie, aby wyświetlić wolumin pozyskiwania danych według rozwiązania i typu danych:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Wdrażanie skoroszytu w celu wizualizacji pozyskiwania danych

Skoroszyt Raport użycia obszaru roboczego zawiera dane dotyczące użycia, kosztów i statystyk użycia obszaru roboczego. Skoroszyt zapewnia stan pozyskiwania danych obszaru roboczego oraz ilość bezpłatnych i rozliczanych danych. Logika skoroszytu umożliwia monitorowanie pozyskiwania i kosztów danych oraz tworzenie niestandardowych widoków i alertów opartych na regułach.

Ten skoroszyt zawiera również szczegółowe szczegóły pozyskiwania. Skoroszyt dzieli dane w obszarze roboczym według tabeli danych i udostępnia woluminy na tabelę i wpis, aby ułatwić lepsze zrozumienie wzorców pozyskiwania.

Aby włączyć skoroszyt Raportu użycia obszaru roboczego:

  1. W obszarze nawigacji po lewej stronie usługi Microsoft Sentinel wybierz pozycję Skoroszyty zarządzania zagrożeniami>.
  2. Wprowadź użycie obszaru roboczego na pasku wyszukiwania, a następnie wybierz pozycję Raport użycia obszaru roboczego.
  3. Wybierz pozycję Wyświetl szablon, aby użyć skoroszytu w stanie takim, w jakim jest, lub wybierz pozycję Zapisz, aby utworzyć edytowalną kopię skoroszytu. Jeśli zapiszesz kopię, wybierz pozycję Wyświetl zapisany skoroszyt.
  4. W skoroszycie wybierz subskrypcję i obszar roboczy , który chcesz wyświetlić, a następnie ustaw timeRange na przedział czasu, który chcesz zobaczyć. Możesz ustawić przełącznik Pokaż pomoc na Wartość Tak , aby wyświetlić wyjaśnienia w miejscu w skoroszycie.

Eksportowanie danych kosztów

Możesz również wyeksportować dane kosztów na konto magazynu. Eksportowanie danych kosztów jest przydatne, gdy potrzebujesz lub inne osoby, aby przeprowadzić większą analizę danych pod kątem kosztów. Na przykład zespół finansowy może analizować dane przy użyciu programu Excel lub usługi Power BI. Możesz wyeksportować koszty według dziennego, tygodniowego lub miesięcznego harmonogramu i ustawić niestandardowy zakres dat. Eksportowanie danych kosztów jest zalecanym sposobem pobierania zestawów danych kosztów.

Tworzenie budżetów

W celu zarządzania kosztami można utworzyć budżety oraz alerty, które automatycznie powiadamiają uczestników o anomaliach w wydatkach i o ryzyku nadmiernych wydatków. Alerty są oparte na wydatkach w porównaniu z budżetem i progami kosztów. Budżety i alerty są tworzone dla subskrypcji i grup zasobów platformy Azure, więc są one przydatne w ramach ogólnej strategii monitorowania kosztów.

Możesz tworzyć budżety z filtrami dla określonych zasobów lub usług na platformie Azure, jeśli chcesz uzyskać bardziej szczegółowość monitorowania. Filtry pomagają zagwarantować, że nie utworzysz przypadkowo nowych zasobów, które kosztują więcej pieniędzy. Aby uzyskać więcej informacji na temat opcji filtru dostępnych podczas tworzenia budżetu, zobacz Opcje grupowania i filtrowania.

Używanie podręcznika dla alertów usługi Cost Management

Aby ułatwić kontrolowanie budżetu usługi Microsoft Sentinel, możesz utworzyć podręcznik zarządzania kosztami. Podręcznik wysyła alert, jeśli obszar roboczy usługi Microsoft Sentinel przekracza budżet zdefiniowany w danym przedziale czasu.

Społeczność usługi GitHub usługi Microsoft Sentinel udostępnia Send-IngestionCostAlert podręcznik zarządzania kosztami w witrynie GitHub. Ten podręcznik jest aktywowany przez wyzwalacz cyklu i zapewnia wysoki poziom elastyczności. Możesz kontrolować częstotliwość wykonywania, ilość pozyskiwania i wyzwalanie komunikatu w zależności od wymagań.

Definiowanie limitu ilości danych w usłudze Log Analytics

W usłudze Log Analytics można włączyć dzienny limit woluminu, który ogranicza dzienne pozyskiwanie dla obszaru roboczego. Dzienny limit może pomóc w zarządzaniu nieoczekiwanym wzrostem ilości danych, pozostawaniu w limicie i ograniczeniu nieplanowanych opłat.

Aby zdefiniować dzienny limit woluminu, wybierz pozycję Użycie i szacowane koszty w lewym obszarze nawigacyjnym obszaru roboczego usługi Log Analytics, a następnie wybierz pozycję Dzienny limit. Wybierz pozycję Włączone, wprowadź dzienną kwotę limitu woluminu, a następnie wybierz przycisk OK.

Zrzut ekranu przedstawiający ekran Użycie i szacowane koszty oraz okno Dzienne limity.

Na ekranie Użycie i szacowane koszty są również wyświetlane trend ilości pozyskanych danych w ciągu ostatnich 31 dni oraz łączny zachowany wolumin danych.

Aby uzyskać więcej informacji, zobacz Ustawianie dziennego limitu w obszarze roboczym usługi Log Analytics.

Następne kroki