你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理和监控 Microsoft Sentinel 成本

在开始使用 Microsoft Sentinel 资源之后,请使用“成本管理”功能来设置预算和监视成本。 还可以查看预测的成本并识别支出趋势,以确定可能需要实施措施的领域。

Microsoft Sentinel 的成本只是 Azure 帐单中每月成本的一部分。 尽管本文介绍了如何管理和监控 Microsoft Sentinel 的成本,但你需要为 Azure 订阅使用的所有 Azure 服务和资源(包括合作伙伴服务)付费。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证即可使用。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

若要在成本管理中查看成本数据并执行成本分析,必须拥有受支持的 Azure 帐户类型,并且至少具有读取访问权限。

虽然成本管理中的成本分析支持大多数 Azure 帐户类型,但并非所有帐户类型都受支持。 若要查看支持的帐户类型的完整列表,请参阅了解成本管理数据

若要了解如何分配对 Microsoft 成本管理数据的访问权限,请参阅分配对数据的访问权限

使用成本分析查看成本

将 Azure 资源用于 Microsoft Sentinel 时,会产生成本。 Azure 资源使用单位成本因时间间隔(如秒、分钟、小时和天)或单位使用量(如字节和兆字节)而异。 一旦 Microsoft Sentinel 开始分析可计费数据,就会产生成本。 使用 Azure 门户中的成本分析查看这些成本。 有关详细信息,请参阅开始使用成本分析

使用成本分析时,可以在关系图和表中查看不同时间间隔的 Microsoft Sentinel 成本。 有些示例是按天、当前、上个月和年划分的。 还可以对比预算和预测的成本来查看成本。 随着时间的推移切换到较长的视图,可帮助你确定支出趋势。 你会看到可能出现超支的地方。 如果已创建预算,还可以轻松查看超支的地方。

Microsoft 成本管理 + 计费中心提供了有用的功能。 在 Azure 门户中打开“Azure 成本管理 + 计费”之后,在左侧导航中选择“成本管理”,然后选择要调查的资源范围或资源集,例如 Azure 订阅或资源组。

“成本分析”屏幕显示 Azure 使用量和成本的详细视图,以及应用各种控件和筛选器的选项。

例如,查看特定时间范围的每日成本图表:

  1. 在“视图”字段中选择下拉插入符号,然后选择“累计成本”或“每日成本”。

  2. 在"日期"字段中选择下拉型点,然后选择一个日期范围。

  3. 选择“粒度”旁边的下拉插入符号并选择“每日”。

    下图所示的费用仅用作示例。 并非是为了反映实际成本。

    显示成本管理 + 计费成本分析屏幕的屏幕截图。

还可以应用其他控件。 例如,若要仅查看与 Microsoft Sentinel 相关联的成本,请选择“添加筛选器”,选择“服务名称”,然后选择服务名称“Sentinel”、“log analytics”和“azure monitor”。

在某些门户使用量图表中,Microsoft Sentinel 数据引入量显示在“安全见解”下面。

Microsoft Sentinel 经典定价层不包括 Log Analytics 费用,因此你可能会看到这些费用单独计费。 Microsoft Sentinel 简化的定价将两种成本合并到一套层级中。 若要详细了解 Microsoft Sentinel 的简化定价层,请参阅简化的定价层

有关降低成本的详细信息, 请参阅创建预算在 Microsoft Sentinel 中降低成本

对 Microsoft Sentinel 使用 Azure 预付款

可以使用 Azure 预付款额度支付 Microsoft Sentinel 费用。 但是,无法使用 Azure 预付款额度为非 Microsoft 组织的产品和服务付费,也无法为 Azure 市场的产品付费。

运行查询来了解数据引入

Microsoft Sentinel 使用广泛的查询语言在数秒钟内分析大量操作数据,与之交互并从中获取见解。 可以使用以下 Kusto 查询来了解数据引入量。

运行以下查询,按解决方案显示数据引入量:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

运行以下查询以按数据类型显示数据引入量:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

运行以下查询以同时按解决方案和数据类型显示数据引入量:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

部署工作簿以直观显示数据引入

“工作区使用量报告”工作簿提供工作区的数据消耗、成本和使用量统计信息。 此工作簿提供了工作区的数据引入状态以及免费和付费数据的数量。 可以使用该工作簿的逻辑来监视数据引入和成本,并生成自定义视图和基于规则的警报。

此工作簿还提供了不同颗粒度的引入详情。 工作簿用数据表将工作区中的数据分解,并提供表和条目提供使用量,以帮助你更好地理解你的引入模式。

启用“工作区使用量报告”工作簿:

  1. 在 Microsoft Sentinel 的左侧导航中,选择“威胁管理”>“工作簿” 。
  2. 在搜索栏中输入“工作区量”,然后选择“工作区使用量报告”。
  3. 选择“查看模板”以按原样使用工作簿,或选择“保存”以创建工作簿的可编辑副本。 如果保存了副本,请选择“查看保存的工作簿”。
  4. 在工作簿中,选择要查看的“订阅”和“工作区”,然后将“时间范围”设置为要查看的时间范围。 可以将“显示帮助”开关设置为“是”以在工作簿中就进显示说明。

导出成本数据

还可以将成本数据导出到存储帐户。 当你或其他人需要进行有关成本的更多数据分析时,导出成本数据会非常有用。 例如,财务团队可以使用 Excel 或 Power BI 来分析数据。 可以按每天、每周或每月计划导出成本,并设置自定义的日期范围。 建议导出成本数据来检索成本数据集。

创建预算

可以创建预算来管理成本,并创建警报以自动通知利益干系人支出异常和超支风险。 警报基于与预算和成本阈值相比的支出。 预算和警报是针对 Azure 订阅和资源组创建的,作为总体成本监视策略的一部分,它们非常有用。

如果希望可以更加精细地进行监视,可以在 Azure 中使用特定资源或服务的筛选器创建预算。 筛选器可帮助确保不会意外创建会产生额外成本的新资源。 有关创建预算时可用的筛选选项的详细信息,请参阅分组和筛选选项

使用 playbook 发出成本管理警报

为了帮助你控制 Microsoft Sentinel 预算,你可以创建成本管理 playbook。 如果 Microsoft Sentinel 工作区在给定的时间范围内超出了你定义的预算,playbook 将向你发送警报。

Microsoft Sentinel GitHub 社区在 GitHub 上提供了 Send-IngestionCostAlert 成本管理 playbook。 此 playbook 由定期触发器激活,可为你提供高程度的灵活性。 你可以根据要求控制执行频率、引入量以及要触发的消息。

在 Log Analytics 中定义数据量上限

在 Log Analytics 中,可以启用每日数据量上限,这将限制你的工作区的每日引入量。 每日上限可帮助你管理数据量的意外增加,保持在限制范围内,并限制意外费用。

要定义每日引入量上限,请在 Log Analytics 工作区的左侧导航中选择“使用量和估计成本”,然后选择“每日上限”。 选择“开启”,输入每日数据量上限,然后选择“确定”。

显示“使用量和估计成本”屏幕和“每日上限”窗口的屏幕截图。

“使用量和估计成本”屏幕还显示过去 31 天的引入数据量趋势和总共保留的数据量。

有关详细信息,请参阅设置 Log Analytics 工作区的每日上限

后续步骤