Obniżanie kosztów usługi Microsoft Sentinel
Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak obniżyć koszty usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Ustawianie lub zmienianie warstwy cenowej
Aby zoptymalizować pod kątem najwyższych oszczędności, monitoruj ilość pozyskiwania, aby upewnić się, że masz warstwę zobowiązania, która jest najbardziej zgodna ze wzorcami ilości pozyskiwania. Rozważ zwiększenie lub zmniejszenie warstwy zobowiązania w celu dostosowania ich do zmieniających się woluminów danych.
Możesz zwiększyć warstwę zobowiązania w dowolnym momencie, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Jednak aby powrócić do warstwy Płatności zgodnie z rzeczywistym użyciem lub do niższej warstwy zobowiązania, musisz poczekać, aż okres zobowiązania 31-dniowego zakończy się. Rozliczenia dla warstw zobowiązań są naliczane codziennie.
Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w obszarze nawigacji po lewej stronie usługi Microsoft Sentinel, a następnie wybierz kartę Cennik . Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.
Aby zmienić zobowiązanie dotyczące warstwy cenowej, wybierz jedną z pozostałych warstw na stronie cennika, a następnie wybierz pozycję Zastosuj. Aby zmienić warstwę cenową, musisz mieć współautora lub właściciela obszaru roboczego usługi Microsoft Sentinel.
Aby dowiedzieć się więcej na temat monitorowania kosztów, zobacz Zarządzanie kosztami i monitorowanie ich dla usługi Microsoft Sentinel.
W przypadku obszarów roboczych nadal korzystających z klasycznych warstw cenowych warstwy cenowe usługi Microsoft Sentinel nie obejmują opłat za usługę Log Analytics. Aby uzyskać więcej informacji, zobacz Uproszczone warstwy cenowe.
Kupowanie planu przed zakupem
Oszczędzaj na kosztach usługi Microsoft Sentinel podczas wcześniejszego zakupu jednostek zatwierdzeń usługi Microsoft Sentinel. W dowolnym momencie w okresie zakupu jednego roku należy użyć wstępnie zakupionych jednostek organizacyjnych.
Wszystkie kwalifikujące się koszty usługi Microsoft Sentinel odejmuje się od wcześniej zakupionych jednostek CU automatycznie. Nie musisz ponownie wdrażać ani przypisywać wcześniej zakupionego planu do obszarów roboczych usługi Microsoft Sentinel, aby uzyskać rabaty za użycie aktualizacji zbiorczych.
Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów usługi Microsoft Sentinel przy użyciu planu zakupu przed zakupem.
Oddzielanie danych niezwiązanych z zabezpieczeniami w innym obszarze roboczym
Usługa Microsoft Sentinel analizuje wszystkie dane pozyskane do obszarów roboczych usługi Log Analytics z obsługą usługi Microsoft Sentinel. Najlepiej mieć oddzielny obszar roboczy dla danych operacji niezwiązanych z zabezpieczeniami, aby upewnić się, że nie ponosi kosztów usługi Microsoft Sentinel.
Podczas wyszukiwania zagrożeń lub badania zagrożeń w usłudze Microsoft Sentinel może być konieczne uzyskanie dostępu do danych operacyjnych przechowywanych w tych autonomicznych obszarach roboczych usługi Azure Log Analytics. Dostęp do tych danych można uzyskać przy użyciu wykonywania zapytań między obszarami roboczymi w środowisku eksploracji dzienników i skoroszytach. Nie można jednak używać reguł analizy między obszarami roboczymi i zapytań wyszukiwania zagrożeń, chyba że usługa Microsoft Sentinel jest włączona we wszystkich obszarach roboczych.
Wybieranie typów dzienników o niskich kosztach dla danych o dużej wartości
Chociaż standardowe dzienniki analityczne są najbardziej odpowiednie do ciągłego wykrywania zagrożeń w czasie rzeczywistym, dwa inne typy dzienników — podstawowe dzienniki i dzienniki pomocnicze — są bardziej odpowiednie do wykonywania zapytań ad hoc i wyszukiwania pełnych dzienników o dużej ilości, niskiej wartości, które nie są często potrzebne lub do których uzyskuje się dostęp na żądanie. Włącz podstawowe pozyskiwanie danych dziennika przy znacznie niższym koszcie lub pozyskiwaniu danych dziennika pomocniczego (teraz w wersji zapoznawczej) przy jeszcze niższych kosztach dla kwalifikujących się tabel danych. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.
- Plany przechowywania dzienników w usłudze Microsoft Sentinel
- Źródła dzienników do użycia na potrzeby pozyskiwania dzienników pomocniczych
Optymalizowanie kosztów usługi Log Analytics za pomocą dedykowanych klastrów
Jeśli pozyskasz co najmniej 100 GB do obszaru roboczego lub obszarów roboczych usługi Microsoft Sentinel w tym samym regionie, rozważ przejście do dedykowanego klastra usługi Log Analytics, aby obniżyć koszty. Dedykowana warstwa zobowiązania klastra usługi Log Analytics agreguje wolumin danych w obszarach roboczych, które łącznie pozyskają łącznie 100 GB lub więcej. Aby uzyskać więcej informacji, zobacz Uproszczona warstwa cenowa dla dedykowanego klastra.
Do dedykowanego klastra usługi Log Analytics można dodać wiele obszarów roboczych usługi Microsoft Sentinel. Korzystanie z dedykowanego klastra usługi Log Analytics dla usługi Microsoft Sentinel ma kilka zalet:
Zapytania obejmujące wiele obszarów roboczych działają szybciej, jeśli wszystkie obszary robocze zaangażowane w zapytanie znajdują się w dedykowanym klastrze. Nadal najlepiej mieć jak najwięcej obszarów roboczych w danym środowisku, a dedykowany klaster nadal zachowuje limit 100 obszarów roboczych do włączenia do pojedynczego zapytania obejmującego wiele obszarów roboczych.
Wszystkie obszary robocze w dedykowanym klastrze mogą współużytkować warstwę zobowiązania usługi Log Analytics ustawioną w klastrze. Nie trzeba zatwierdzać oddzielnych warstw zobowiązania usługi Log Analytics dla każdego obszaru roboczego, co pozwala na oszczędność kosztów i wydajność. Włączając dedykowany klaster, należy zatwierdzić minimalną warstwę zobowiązania usługi Log Analytics wynoszącą 100 GB pozyskiwania dziennie.
Poniżej przedstawiono kilka innych zagadnień dotyczących przechodzenia do dedykowanego klastra na potrzeby optymalizacji kosztów:
- Maksymalna liczba klastrów na region i subskrypcja to dwa.
- Wszystkie obszary robocze połączone z klastrem muszą znajdować się w tym samym regionie.
- Maksymalna liczba obszarów roboczych połączonych z klastrem wynosi 1000.
- Możesz odłączyć połączony obszar roboczy z klastra. Liczba operacji łączenia w określonym obszarze roboczym jest ograniczona do dwóch w okresie 30 dni.
- Nie można przenieść istniejącego obszaru roboczego do klastra klucza zarządzanego przez klienta (CMK). Należy utworzyć obszar roboczy w klastrze.
- Przenoszenie klastra do innej grupy zasobów lub subskrypcji nie jest obecnie obsługiwane.
- Łącze obszaru roboczego do klastra kończy się niepowodzeniem, jeśli obszar roboczy jest połączony z innym klastrem.
Aby uzyskać więcej informacji na temat dedykowanych klastrów, zobacz Dedykowane klastry usługi Log Analytics.
Zmniejszanie kosztów przechowywania danych przy użyciu długoterminowego przechowywania
Usługa Microsoft Sentinel domyślnie przechowuje dane w postaci interaktywnej przez pierwsze 90 dni. Aby dostosować okres przechowywania danych w usłudze Log Analytics, wybierz pozycję Użycie i szacowane koszty w obszarze nawigacji po lewej stronie, a następnie wybierz pozycję Przechowywanie danych, a następnie dostosuj suwak.
Dane zabezpieczeń usługi Microsoft Sentinel mogą utracić część jej wartości po kilku miesiącach. Użytkownicy usługi Security Operations Center (SOC) mogą nie potrzebować dostępu do starszych danych tak często, jak nowszych danych, ale nadal może być konieczne uzyskanie dostępu do danych na potrzeby sporadycznych badań lub inspekcji.
Aby ułatwić zmniejszenie kosztów przechowywania danych w usłudze Microsoft Sentinel, usługa Azure Monitor oferuje teraz długoterminowe przechowywanie. Dane, które starzeją się ze stanu przechowywania interakcyjnego, mogą być nadal przechowywane przez maksymalnie dwanaście lat, przy znacznie obniżonym koszcie i z ograniczeniami dotyczącymi jego użycia. Aby uzyskać więcej informacji, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.
Możesz jeszcze bardziej obniżyć koszty, rejestrując tabele zawierające pomocnicze dane zabezpieczeń w planie dzienników pomocniczych (teraz w wersji zapoznawczej). Ten plan umożliwia przechowywanie dzienników o dużej ilości i niskich wartościach przy niskiej cenie z niższym kosztem 30-dniowego okresu przechowywania interakcyjnego na początku, aby umożliwić podsumowywanie i wykonywanie zapytań podstawowych. Aby dowiedzieć się więcej na temat planu dzienników pomocniczych i innych planów, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel. Mimo że plan dzienników pomocniczych pozostaje w wersji zapoznawczej, możesz również zarejestrować te tabele w planie dzienników podstawowych. Dzienniki podstawowe oferują podobne funkcje do dzienników pomocniczych, ale z mniejszymi oszczędnościami kosztów.
Używanie reguł zbierania danych dla zdarzeń Zabezpieczenia Windows
Łącznik Zabezpieczenia Windows Events umożliwia przesyłanie strumieniowe zdarzeń zabezpieczeń z dowolnego komputera z systemem Windows Server połączonym z obszarem roboczym usługi Microsoft Sentinel, w tym serwerami fizycznymi, wirtualnymi lub lokalnymi lub w dowolnej chmurze. Ten łącznik obejmuje obsługę agenta usługi Azure Monitor, który używa reguł zbierania danych do definiowania danych do zbierania danych z każdego agenta.
Reguły zbierania danych umożliwiają zarządzanie ustawieniami kolekcji na dużą skalę, jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.
Oprócz wstępnie zdefiniowanych zestawów zdarzeń, które można wybrać do pozyskiwania, takich jak Wszystkie zdarzenia, Minimalne lub Wspólne, reguły zbierania danych umożliwiają tworzenie niestandardowych filtrów i wybieranie określonych zdarzeń do pozyskiwania. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle, a następnie pozyskiwania tylko wybranych zdarzeń, pozostawiając wszystkie inne elementy. Wybranie określonych zdarzeń do pozyskiwania może pomóc zoptymalizować koszty i zaoszczędzić więcej.
Następne kroki
- Dowiedz się , jak zoptymalizować inwestycję w chmurę za pomocą usługi Microsoft Cost Management.
- Dowiedz się więcej o zarządzaniu kosztami za pomocą analizy kosztów.
- Dowiedz się, jak zapobiegać nieoczekiwanym kosztom.
- Weź udział w kursie szkoleniowym dotyczącym usługi Cost Management .
- Aby uzyskać więcej wskazówek dotyczących zmniejszania ilości danych usługi Log Analytics, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami.