Сокращение затрат на Microsoft Sentinel
Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. Хотя в этой статье разъясняется сокращение затрат для Microsoft Sentinel, вам начисляется плата по всем службам и ресурсам Azure, используемым в вашей подписке Azure, включая партнерские службы.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Задание или изменение ценовой категории
Чтобы оптимизировать использование для большей экономии средств, организуйте мониторинг объема принимаемых данных для гарантированного обеспечения соответствия требованиям уровня обязательств, который наиболее точно соответствует характеру объемов принимаемых данных. Рассмотрите возможность увеличения или уменьшения уровня обязательств, чтобы соответствовать изменению томов данных.
В любое время можно увеличить уровень обязательств, который перезапускается на 31 день периода обязательств. Тем не менее, чтобы вернуться к оплате по мере использования или на более низкий уровень обязательств, необходимо дождаться окончания 31-дневного периода обязательств. Счета за уровни обязательств выставляются ежедневно.
Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите Параметры в левой области навигации Microsoft Sentinel, а затем выберите вкладку Цены. Текущая ценовая категория отмечена как Текущий уровень.
Чтобы изменить ценовую категорию, выберите один из других уровней на странице цен, а затем нажмите кнопку Применить. Чтобы изменить ценовую категорию, необходимо иметь участника или владельца рабочей области Microsoft Sentinel.
Дополнительные сведения о мониторинге затрат см. в статье "Управление затратами и мониторинг затрат на Microsoft Sentinel".
Для рабочих областей, которые по-прежнему используют классические ценовые категории, ценовые категории Microsoft Sentinel не включают расходы На Log Analytics. Дополнительные сведения см. в разделе "Упрощенная ценовая категория".
Приобретение плана предварительной покупки
Экономите затраты на Microsoft Sentinel при предварительной покупке единиц фиксации Microsoft Sentinel (CUS). Используйте предварительно приобретенные ЦС в любое время в течение одного года.
Все соответствующие затраты Microsoft Sentinel вычитаются сначала из предварительно приобретенных ЦС автоматически. Вам не нужно повторно развертывать или назначать предварительно приобретенный план рабочим областям Microsoft Sentinel для использования CU, чтобы получить скидки перед покупкой.
Дополнительные сведения см. в статье "Оптимизация затрат Microsoft Sentinel с помощью плана предварительной покупки".
Хранение данных, не относящихся к безопасности, в другой рабочей области
Microsoft Sentinel анализирует все данные, принятые в рабочие области Log Analytics с поддержкой Microsoft Sentinel. Рекомендуется иметь отдельную рабочую область для данных, не связанных с операциями безопасности, чтобы гарантировать, что это не повлечет за собой затраты Microsoft Sentinel.
При поиске или исследовании угроз в Microsoft Sentinel может потребоваться доступ к рабочим данным, хранящимся в этих автономных рабочих областях Azure Log Analytics. Доступ к этим данным можно получить с помощью запросов между рабочими областями в процессе просмотра журнала, а также в книгах. Однако использовать правила аналитики между рабочими областями и запросы охоты нельзя, если только служба Microsoft Sentinel не включена во всех рабочих областях.
Выбор типов журналов с низкими затратами для данных с высоким объемом и низким значением
Хотя стандартные журналы аналитики наиболее подходят для непрерывного обнаружения угроз в режиме реального времени, два других типа журналов — базовые журналы и вспомогательные журналы — более подходят для нерегламентированного запроса и поиска подробных, больших объемов, низкозначных журналов, которые не часто требуются или обращаются по запросу. Включите прием базовых данных журналов с значительно меньшими затратами или прием вспомогательных данных журнала (в настоящее время в предварительной версии) с более низкой стоимостью для подходящих таблиц данных. Дополнительные сведения см. на странице цен на Microsoft Sentinel.
Оптимизация затрат Log Analytics с помощью выделенных кластеров
Если вы отправляете не менее 100 ГБ в рабочую область Или рабочие области Microsoft Sentinel в том же регионе, попробуйте перейти к выделенному кластеру Log Analytics, чтобы снизить затраты. Уровень обязательств выделенного кластера Log Analytics объединяет объем данных в рабочих областях, которые совместно используют 100 ГБ или более. Дополнительные сведения см. в разделе "Упрощенная ценовая категория" для выделенного кластера.
В выделенный кластер Log Analytics можно добавить несколько рабочих областей Microsoft Sentinel. Существует несколько преимуществ использования выделенного кластера Log Analytics для Microsoft Sentinel.
Запросы между рабочими областями выполняются быстрее, если все рабочие области, участвующие в запросе, находятся в выделенном кластере. По-прежнему лучше иметь в среде как можно меньше рабочих областей, а для выделенного кластера сохраняется ограничение в 100 рабочих областей для включения в один запрос к рабочим областям.
Все рабочие области в выделенном кластере могут совместно использовать уровень обязательств Log Analytics, заданный для кластера. Отсутствие необходимости обеспечивать соответствие обязательствам отдельных уровней Log Analytics для каждой рабочей области позволяет снизить затраты и повысить эффективность. Включив выделенный кластер, вы зафиксируете минимальную категорию обязательств Log Analytics 100 ГБ в день.
Ниже приведены некоторые другие рекомендации по переходу на выделенный кластер для оптимизации затрат.
- Максимальное количество кластеров на регион и подписку составляет два.
- Все рабочие области, связанные с кластером, должны находиться в одном регионе.
- Максимальное количество рабочих областей, связанных с кластером, — 1000.
- Можно отменить связь между рабочей областью и кластером. Для одной рабочей области можно выполнить не более двух операций привязки в течение 30 дней.
- Переместить существующую рабочую область в кластер с ключом, управляемым клиентом (CMK), не удастся. Потребуется создать рабочую область в кластере.
- Перемещение кластера в другую группу ресурсов или подписку в настоящее время не поддерживается.
- Связь рабочей области с кластером не будет работать, если рабочая область связана с другим кластером.
Дополнительные сведения о выделенных кластерах см. в разделе Выделенные кластеры Log Analytics.
Сокращение затрат на хранение данных с помощью долгосрочного хранения
Microsoft Sentinel сохраняет данные по умолчанию в интерактивной форме в течение первых 90 дней. Чтобы изменить период хранения данных в Log Analytics, выберите Использование и ожидаемые затраты в области навигации слева, затем выберите Хранение данных и воспользуйтесь ползунком.
Данные безопасности Microsoft Sentinel могут стать неактуальными через несколько месяцев. Пользователям центра управления безопасностью (SOC) может не потребоваться доступ к более старым данным, так же как и к новым данным, но по-прежнему может потребоваться доступ к данным для периодического исследования или аудита.
Чтобы снизить затраты на хранение данных Microsoft Sentinel, Azure Monitor теперь предлагает долгосрочное хранение. Данные, которые не сохраняются в интерактивном состоянии хранения, по-прежнему могут храниться в течение до двенадцати лет с гораздо меньшей стоимостью и ограничениями на его использование. Дополнительные сведения см. в разделе "Управление хранением данных" в рабочей области Log Analytics.
Вы можете сократить затраты еще дальше путем регистрации таблиц, содержащих вторичные данные безопасности в плане вспомогательных журналов (теперь в предварительной версии). Этот план позволяет хранить журналы с низким уровнем стоимости с низкой ценой с более низкой стоимостью 30-дневный интерактивный период хранения в начале, чтобы обеспечить сводку и базовый запрос. Дополнительные сведения о плане вспомогательных журналов и других планах см . в разделе "Планы хранения журналов" в Microsoft Sentinel. Хотя вспомогательный план журналов остается в предварительной версии, вы также можете зарегистрировать эти таблицы в плане базовых журналов . Базовые журналы предлагают аналогичные функциональные возможности вспомогательных журналов, но с меньшими затратами.
Использование правил сбора данных для событий безопасности Windows
Соединитель событий безопасности Windows позволяет вести потоковую передачу событий безопасности с любого компьютера, на котором работает Windows Server, подключенный к рабочей области Microsoft Sentinel, включая физические, виртуальные и локальные серверы, а также в любое облако. Этот соединитель включает поддержку агента Azure Monitor, который использует правила сбора данных для определения данных для сбора данных от каждого агента.
Правила сбора данных позволяют управлять параметрами сбора в большом масштабе, сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Дополнительные сведения см. в разделе "Настройка сбора данных" для агента Azure Monitor.
Помимо стандартных наборов событий, которые можно выбрать для приема, таких как все события, минимальный или общий набор, правила сбора данных позволяют создавать собственные фильтры и выбирать определенные события для приема. Агент Azure Monitor использует эти правила для фильтрации данных в источнике, а затем приема только выбранных событий, оставляя все остальное позади. Выбор конкретных событий для приема помогает оптимизировать затраты и экономить деньги.
Следующие шаги
- Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
- Ознакомьтесь с дополнительными сведениями об управлении затратами с помощью анализа затрат.
- Узнайте, как предотвратить непредвиденные затраты.
- Пройдите интерактивный курс обучения по управлению затратами.
- Дополнительные советы по сокращению объема данных Log Analytics см. в статье Рекомендации по управлению расходами в Azure Monitor.