Minska kostnaderna för Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Kostnader för Microsoft Sentinel är bara en del av de månatliga kostnaderna i din Azure-faktura. Även om den här artikeln förklarar hur du minskar kostnaderna för Microsoft Sentinel debiteras du för alla Azure-tjänster och resurser som din Azure-prenumeration använder, inklusive partnertjänster.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Ange eller ändra prisnivå

För att optimera för högsta besparingar övervakar du inmatningsvolymen för att säkerställa att du har den åtagandenivå som bäst överensstämmer med dina inmatningsvolymmönster. Överväg att öka eller minska åtagandenivån så att den överensstämmer med ändrade datavolymer.

Du kan öka åtagandenivån när som helst, vilket startar om åtagandeperioden på 31 dagar. Men om du vill gå tillbaka till Betala per användning eller till en lägre åtagandenivå måste du vänta tills åtagandeperioden på 31 dagar har slutförts. Fakturering för åtagandenivåer sker dagligen.

Om du vill se din aktuella prisnivå för Microsoft Sentinel väljer du Inställningar i det vänstra navigeringsfältet i Microsoft Sentinel och väljer sedan fliken Priser . Din aktuella prisnivå är markerad som Aktuell nivå.

Om du vill ändra ditt prisnivååtagande väljer du en av de andra nivåerna på prissidan och väljer sedan Använd. Du måste ha deltagare eller ägare för Microsoft Sentinel-arbetsytan för att ändra prisnivån.

Mer information om hur du övervakar dina kostnader finns i Hantera och övervaka kostnader för Microsoft Sentinel.

För arbetsytor som fortfarande använder klassiska prisnivåer inkluderar inte Microsoft Sentinel-prisnivåerna Log Analytics-avgifter. Mer information finns i Förenklade prisnivåer.

Köp en förköpsplan

Spara på dina Microsoft Sentinel-kostnader när du köper Microsoft Sentinel-incheckningsenheter (CUS) i förväg. Använd de förköpta CUS:erna när som helst under ettårsköpsperioden.

Eventuella berättigade Microsoft Sentinel-kostnader dras först från de förköpta CUS:erna automatiskt. Du behöver inte distribuera om eller tilldela en förinköpt plan till dina Microsoft Sentinel-arbetsytor för CU-användningen för att få rabatterna före köpet.

Mer information finns i Optimera Microsoft Sentinel-kostnader med en förköpsplan.

Avgränsa icke-säkerhetsdata på en annan arbetsyta

Microsoft Sentinel analyserar alla data som matas in i Microsoft Sentinel-aktiverade Log Analytics-arbetsytor. Det är bäst att ha en separat arbetsyta för icke-säkerhetsåtgärdsdata för att säkerställa att den inte medför Microsoft Sentinel-kostnader.

När du jagar eller undersöker hot i Microsoft Sentinel kan du behöva komma åt driftdata som lagras på dessa fristående Azure Log Analytics-arbetsytor. Du kan komma åt dessa data med hjälp av frågor mellan arbetsytor i logggranskningsmiljön och arbetsböcker. Du kan dock inte använda analysregler för flera arbetsytor och jaktfrågor om inte Microsoft Sentinel är aktiverat på alla arbetsytor.

Välj lågkostnadsloggtyper för data med höga volymer och låga värden

Standardanalysloggar är lämpligast för kontinuerlig hotidentifiering i realtid, men två andra loggtyper – grundläggande loggar och extraloggar – passar bättre för ad hoc-frågor och sökning efter utförliga loggar med höga volymer med låga värden som inte behövs eller används ofta på begäran. Aktivera grundläggande loggdatainmatning till en betydligt lägre kostnad eller extra loggdatainmatning (nu i förhandsversion) till en ännu lägre kostnad för berättigade datatabeller. Mer information finns i Priser för Microsoft Sentinel.

• Loggkvarhållningsplaner i Microsoft Sentinel
• Loggkällor som ska användas för inmatning av tilläggsloggar

Optimera Log Analytics-kostnader med dedikerade kluster

Om du matar in minst 100 GB till din Microsoft Sentinel-arbetsyta eller dina arbetsytor i samma region kan du överväga att flytta till ett dedikerat Log Analytics-kluster för att minska kostnaderna. En Log Analytics-dedikerad klusteråtagandenivå aggregerar datavolym över arbetsytor som tillsammans matar in totalt 100 GB eller mer. Mer information finns i Förenklad prisnivå för dedikerade kluster.

Du kan lägga till flera Microsoft Sentinel-arbetsytor i ett dedikerat Log Analytics-kluster. Det finns ett par fördelar med att använda ett dedikerat Log Analytics-kluster för Microsoft Sentinel:

• Frågor mellan arbetsytor körs snabbare om alla arbetsytor som ingår i frågan finns i det dedikerade klustret. Det är fortfarande bäst att ha så få arbetsytor som möjligt i din miljö, och ett dedikerat kluster behåller fortfarande gränsen på 100 arbetsytor för inkludering i en enda fråga mellan arbetsytor.

• Alla arbetsytor i det dedikerade klustret kan dela den Log Analytics-åtagandenivå som angetts i klustret. Att inte behöva checka in på separata Log Analytics-åtagandenivåer för varje arbetsyta kan möjliggöra kostnadsbesparingar och effektivitetsvinster. Genom att aktivera ett dedikerat kluster checkar du in på en minsta Log Analytics-åtagandenivå på 100 GB inmatning per dag.

Här följer några andra överväganden för att flytta till ett dedikerat kluster för kostnadsoptimering:

• Det maximala antalet kluster per region och prenumeration är två.
• Alla arbetsytor som är länkade till ett kluster måste finnas i samma region.
• Maximalt antal arbetsytor som är länkade till ett kluster är 1 000.
• Du kan ta bort länken till en länkad arbetsyta från klustret. Antalet länkåtgärder på en viss arbetsyta är begränsat till två under en period av 30 dagar.
• Du kan inte flytta en befintlig arbetsyta till ett kundhanterat nyckelkluster (CMK). Du måste skapa arbetsytan i klustret.
• Det finns för närvarande inte stöd för att flytta ett kluster till en annan resursgrupp eller prenumeration.
• En arbetsytelänk till ett kluster misslyckas om arbetsytan är länkad till ett annat kluster.

Mer information om dedikerade kluster finns i Log Analytics-dedikerade kluster.

Minska kostnaderna för datakvarhållning med långsiktig kvarhållning

Microsoft Sentinel behåller data som standard i interaktiv form under de första 90 dagarna. Om du vill justera datakvarhållningsperioden i Log Analytics väljer du Användning och uppskattade kostnader i det vänstra navigeringsfältet, väljer sedan Datakvarhållning och justerar sedan skjutreglaget.

Microsoft Sentinel-säkerhetsdata kan förlora en del av sitt värde efter några månader. Användare av Security Operations Center (SOC) kanske inte behöver komma åt äldre data lika ofta som nyare data, men kan fortfarande behöva komma åt data för sporadiska undersökningar eller granskningsändamål.

För att hjälpa dig att minska kostnaderna för datakvarhållning i Microsoft Sentinel erbjuder Azure Monitor nu långsiktig kvarhållning. Data som inte har det interaktiva kvarhållningstillståndet kan fortfarande behållas i upp till tolv år, till en mycket reducerad kostnad och med begränsningar i användningen. Mer information finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

Du kan minska kostnaderna ytterligare genom att registrera tabeller som innehåller sekundära säkerhetsdata i tilläggsloggplanen (nu i förhandsversion). Med den här planen kan du lagra loggar med höga volymer med låga värden till ett lågt pris, med en interaktiv kvarhållningsperiod på 30 dagar till en lägre kostnad i början för att möjliggöra sammanfattning och grundläggande frågor. Mer information om tilläggsloggplanen och andra planer finns i Loggkvarhållningsplaner i Microsoft Sentinel. Även om tilläggsloggplanen finns kvar i förhandsversionen har du också möjlighet att registrera dessa tabeller i basic-loggplanen . Grundläggande loggar erbjuder liknande funktioner som hjälploggar, men med mindre kostnadsbesparingar.

Använda datainsamlingsregler för dina Windows-säkerhet-händelser

Med anslutningsappen Windows-säkerhet Händelser kan du strömma säkerhetshändelser från alla datorer som kör Windows Server som är anslutna till din Microsoft Sentinel-arbetsyta, inklusive fysiska, virtuella eller lokala servrar eller i något moln. Den här anslutningsappen innehåller stöd för Azure Monitor-agenten, som använder datainsamlingsregler för att definiera de data som ska samlas in från varje agent.

Med datainsamlingsregler kan du hantera insamlingsinställningar i stor skala, samtidigt som du tillåter unika, begränsade konfigurationer för delmängder av datorer. Mer information finns i Konfigurera datainsamling för Azure Monitor-agenten.

Förutom för de fördefinierade uppsättningar av händelser som du kan välja att mata in, till exempel Alla händelser, Minimal eller Common, gör datainsamlingsregler att du kan skapa anpassade filter och välja specifika händelser att mata in. Azure Monitor-agenten använder dessa regler för att filtrera data vid källan och mata sedan bara in de händelser som du har valt, samtidigt som allt annat lämnas kvar. Om du väljer specifika händelser att mata in kan du optimera dina kostnader och spara mer.

Nästa steg

• Lär dig hur du optimerar din molninvestering med Microsoft Cost Management.
• Läs mer om att hantera kostnader med kostnadsanalys.
• Lär dig hur du förhindrar oväntade kostnader.
• Gå den guidade utbildningskursen för Cost Management .
• Fler tips om hur du minskar Log Analytics-datavolymen finns i Metodtips för Azure Monitor – Kostnadshantering.