Compartilhar via


Gerenciar e Monitorar custos para o Microsoft Sentinel

Depois de começar a usar os recursos do Microsoft Sentinel, use os recursos de Gerenciamento de Custos para definir orçamentos e monitorar custos. Você também pode examinar os custos previstos e identificar as tendências de gastos para identificar as áreas em que talvez queira agir.

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como gerenciar e monitorar os custos do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para exibir dados de custo e executar a análise de custo no Gerenciamento de Custos, você deve ter um tipo de conta disponível no Azure, com pelo menos acesso de leitura.

A análise de custo no Gerenciamento de Custos está presente na maioria dos tipos de conta do Azure, mas não em todos. Para exibir a lista completa dos tipos de contas compatíveis, confira Entender os dados do Gerenciamento de Custos.

Para obter informações sobre como atribuir o acesso aos dados do Gerenciamento de Custos da Microsoft, confira Atribuir acesso aos dados.

Exibir custos usando análise de custo

Há custos para usar os recursos do Azure com o Microsoft Sentinel. Os custos unitários de uso dos recursos do Azure variam de acordo com os intervalos de tempo (segundos, minutos, horas e dias) ou com a unidade de uso (bytes, megabytes e assim por diante). Assim que o Microsoft Sentinel começa a analisar dados faturáveis, ele gera custos. Exiba esses custos usando a análise de custo no portal do Azure. Para obter mais informações, confira Comece a usar a análise de custo.

Ao usar a análise de custos, você vê os custos do Microsoft Sentinel em grafos e tabelas para diferentes intervalos de tempo. Alguns exemplos são por dia, mês atual e anterior e ano. Você também visualiza os custos em relação aos orçamentos e os custos previstos. Alternar para exibições mais extensas ao longo do tempo pode ajudar você a identificar tendências de gastos. E você verá onde pode ter ocorrido excessos de gastos. Se você criou orçamentos, também pode ver facilmente o local em que eles foram excedidos.

O hub Gerenciamento de Custos da Microsoft + Billing fornece funcionalidade útil. Depois de abrir o Gerenciamento de Custos e Cobrança no portal do Azure, selecione Gerenciamento de Custos no painel de navegação à esquerda e escolha o escopo ou conjunto de recursos a serem investigados, como uma assinatura ou grupo de recursos do Azure.

A tela Análise de custo mostra exibições detalhadas do uso e dos custos do Azure, com a opção de aplicar uma variedade de controles e filtros.

Por exemplo, para ver os gráficos de seus custos diários por um determinado período de tempo:

  1. Selecione o cursor suspenso no campo Exibição e selecione Custos acumulados ou Custos diários.

  2. Selecione o cursor suspenso no campo de data e selecione um intervalo de datas.

  3. Selecione o cursor suspenso ao lado de Granularidade e selecione Diária.

    Os custos mostrados na imagem a seguir são apenas para fins de exemplo. Eles não têm a finalidade de refletir os custos reais.

    Captura de tela de uma tela de análise de custos de gerenciamento de custos e cobrança.

Você também pode aplicar outros controles. Por exemplo, para exibir apenas os custos associados ao Microsoft Sentinel, selecione Adicionar filtro, selecione Nome do serviço e escolha os nomes de serviço Sentinel, Log Analytics e Azure Monitor.

Os volumes de ingestão de dados do Microsoft Sentinel aparecem sob Insights de Segurança em alguns gráficos de uso do portal.

Os níveis de preços clássicos do Microsoft Sentinel não incluem cobranças do Log Analytics, portanto, você pode ver essas cobranças cobradas separadamente. Os preços simplificados do Microsoft Sentinel combinam os dois custos em um conjunto de camadas. Para saber mais sobre os tipos de preço simplificados do Microsoft Sentinel, confira Tipos de preço simplificados.

Para obter mais informações, consulte Criar orçamentos e Reduzir custos no Microsoft Sentinel.

Usando o pagamento antecipado do Azure com o Microsoft Sentinel

Os encargos do Microsoft Sentinel podem ser pagos com seu crédito de pagamento antecipado do Azure. No entanto, você não pode usar o crédito de Pré-pagamento do Azure para pagar contas a organizações que não sejam da Microsoft por seus produtos e serviços ou por produtos do Azure Marketplace.

Executar consultas para entender a ingestão de dados

O Microsoft Sentinel usa uma linguagem de consulta extensiva para analisar, interagir e derivar insights de grandes volumes de dados operacionais em segundos. Aqui estão algumas consultas do Kusto que você pode usar para entender seu volume de ingestão de dados.

Execute a seguinte consulta para mostrar o volume de ingestão de dados por solução:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados por tipo de dados:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados tanto por solução quanto por tipo de dados:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Implantar uma pasta de trabalho para visualizar a ingestão de dados

A pasta de trabalho de Relatório de Uso do Workspace fornece o consumo de dados, o custo e as estatísticas de uso do workspace. A pasta de trabalho fornece o status de ingestão de dados e a quantidade de dados gratuitos e faturáveis do workspace. Você pode usar a lógica da pasta de trabalho para monitorar os custos e a ingestão de dados, bem como para criar exibições personalizadas e alertas baseados em regras.

Esta pasta de trabalho também fornece detalhes granulares de ingestão. A pasta de trabalho divide os dados em seu workspace por tabela de dados e fornece volumes por tabela e por entrada para ajudar você a entender melhor seus padrões de ingestão.

Para habilitar a pasta de trabalho de Relatório de Uso do Workspace:

  1. No painel de navegação à esquerda do Microsoft Sentinel, selecione Gerenciamento de ameaças>Pastas de trabalho.
  2. Insira Uso do workspace na barra Pesquisa e selecione Relatório de Uso do Workspace.
  3. Selecione o Modelo de exibição para usar a pasta de trabalho como está ou selecione Salvar para criar uma cópia editável da pasta de trabalho. Se você salvar uma cópia, selecione Exibir pasta de trabalho salva.
  4. Na pasta de trabalho, selecione a Assinatura e o Workspace que você deseja exibir e defina o TimeRange para o período que você deseja ver. Você pode definir a opção Mostrar ajuda para Sim a fim de exibir explicações in-loco na pasta de trabalho.

Exportar dados de custo

Você também pode exportar seus dados de custo para uma conta de armazenamento. Isso é útil quando você ou outras pessoas precisam realizar mais análises de dados para custos. Por exemplo, uma equipe de finanças pode analisar os dados usando o Excel ou o Power BI. Você pode exportar seus custos em uma agenda diária, semanal ou mensal e definir um intervalo de datas personalizado. A exportação de dados de custo é a maneira recomendada de recuperar conjuntos de dados de custos.

Criar orçamentos

É possível criar orçamentos para gerenciar custos e criar alertas que notificam automaticamente os stakeholders de anomalias de gastos e risco de gastos em excesso. Os alertas são baseados nos gastos comparados com os limites de orçamento e de custo. Orçamentos e alertas são criados para assinaturas e grupos de recursos do Azure, para que sejam úteis como parte de uma estratégia de monitoramento de custo geral.

É possível criar orçamentos com filtros para recursos ou serviços específicos no Azure caso você queira mais granularidade no monitoramento. Os filtros ajudam a garantir que você não crie acidentalmente novos recursos com custo adicional. Para obter mais informações sobre as opções de filtro disponíveis ao criar um orçamento, confira Opções de grupo e filtro.

Usar um guia estratégico para alertas de gerenciamento de custos

Para ajudar você a controlar o orçamento do Microsoft Sentinel, você pode criar um guia estratégico de gerenciamento de custos. O guia estratégico lhe enviará um alerta se o seu workspace do Microsoft Sentinel exceder, dentro de um determinado período de tempo, um orçamento definido por você.

A comunidade do GitHub do Microsoft Sentinel fornece o Send-IngestionCostAlert guia estratégico de gerenciamento de custos no GitHub. Este guia estratégico é ativado por um gatilho de recorrência e oferece a você um alto nível de flexibilidade. Você pode controlar a frequência de execução, o volume de ingestão e a mensagem a ser disparada, com base em suas necessidades.

Definir um limite de volume de dados no Log Analytics

No Log Analytics, você pode habilitar um limite de volume diário que limita a ingestão diária para o seu workspace. O limite diário pode ajudar você a gerenciar aumentos inesperados no volume de dados, permanecer dentro do limite e limitar encargos não planejados.

Para definir um limite de volume diário, selecione Uso e custos estimados no painel de navegação à esquerda do seu workspace do Log Analytics e selecione Limite diário. Selecione Ativado, insira um valor de limite de volume diário e selecione OK.

Captura da tela Uso e custos estimados e da janela Limite diário.

A tela Uso e custos estimados também mostra a tendência do volume de dados ingeridos nos últimos 31 dias e o volume total de dados retidos.

Para obter mais informações, consulte Definir limite diário no espaço de trabalho do Log Analytics.

Próximas etapas