管理並監視 Microsoft Sentinel 的成本
開始使用 Microsoft Sentinel 資源後,請使用成本管理功能來設定預算並監視成本。 您也可以檢閱預測成本,並找出花費趨勢來識別您可能想要採取行動的區域。
Microsoft Sentinel 的成本只是您 Azure 帳單中每月成本的一部分。 雖然本文說明管理並監視 Microsoft Sentinel 成本的方式,但您支付的費用是 Azure 訂閱使用的所有 Azure 服務和資源 (包括協力廠商服務)。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要在成本管理中檢視成本資料並執行成本分析,您必須使用支援的 Azure 帳戶類型,且必須至少包含讀取存取權。
成本管理中的成本分析支援大部分的 Azure 帳戶類型,但並非全部。 若要檢視所支援帳戶類型的完整清單,請參閱了解成本管理資料。
如需 Microsoft 成本管理資料的存取權指派相關資訊,請參閱指派資料的存取權。
使用成本分析檢視成本
搭配 Azure Sentinel 使用 Azure 資源時會產生費用。 Azure 資源使用量單位成本會因時間間隔 (例如秒、分鐘、小時和日) 或單位使用量 (例如位元組、MB) 而異。 一旦 Microsoft Sentinel 開始分析可計費的資料,就會產生成本。 在 Azure 入口網站中使用成本分析來檢視這些成本。 如需詳細資訊,請參閱 開始使用成本分析。
使用成本分析時,您可透過不同時間間隔的圖表或資料表來檢視 Azure Sentinel 成本。 一些範例包括依日期、目前和先前月份,以及年度。 您也可以根據預算和預測成本來檢視成本。 切換至更長時間的檢視,有助於找出費用趨勢。 您也會看到可能發生超支的位置。 如果您已建立預算,還可以輕鬆地查看已超出預算的位置。
Microsoft 成本管理 + 計費 中樞提供實用的功能。 在 Azure 入口網站中開啟 [成本管理 + 計費] 後,請在左側導覽中選取 [成本管理],然後選取要調查的資源範圍或集合,例如 Azure 訂閱或資源群組。
[成本分析] 畫面會顯示 Azure 使用量和成本的詳細檢視,以及套用各種控制項和篩選的選項。
例如,查看特定時間範圍的每日成本圖表:
在 [檢視] 欄位中選取下拉式插入號,然後選取 [累積成本] 或 [每日成本]。
在日期欄位中選取下拉式插入號,然後選取日期範圍。
選取 [資料粒度] 旁的下拉式插入號,然後選取 [每日]。
下圖中的成本僅為範例, 無法反映實際成本。
您也可以套用進一步的控制項。 例如,若要只檢視與 Microsoft Sentinel 相關聯的成本,請選取 [新增篩選]、選取 [服務名稱],然後選取 [Sentinel]、[Log Analytics],然後 [Azure 監視器]。
Microsoft Sentinel 資料擷取量會出現在某些入口網站使用量圖表的 [安全性深入解析] 底下。
Microsoft Sentinel 傳統價格層不包含 Log Analytics 費用,因此您可能會看到這些費用會分開計費。 Microsoft Sentinel 簡化的價格會將這兩個成本結合成一組價格層。 若要深入瞭解 Microsoft Sentinel 的簡化價格層,請參閱 簡化的價格層。
如需降低成本的詳細資訊,請參閱 建立預算 和 降低 Microsoft Sentinel 的成本。
搭配 Microsoft Sentinel 使用 Azure 預付款
您可以使用 Azure 預付款點數支付 Microsoft Sentinel 費用。 不過,您無法使用 Azure 預付款點數向非Microsoft 組織支付帳單,以取得其產品和服務,或從 Azure Marketplace 購買產品。
執行查詢,了解您的資料擷取
Microsoft Sentinel 使用廣泛的查詢語言來分析及互動,並在數秒內從大量作業資料導出見解。 以下是一些可用來了解資料擷取量的 Kusto 查詢。
執行下列查詢,依解決方案顯示資料擷取量:
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart
執行下列查詢,依資料類型顯示資料擷取量:
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart
執行下列查詢,依解決方案和資料類型顯示資料擷取量:
Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc
部署活頁簿,將資料擷取視覺化
工作區使用量報告活頁簿提供工作區的資料使用量、成本和使用量統計資料。 活頁簿提供工作區的資料擷取狀態,以及免費或計費的資料量。 您可以使用活頁簿邏輯來監視資料擷取和成本,並建置自訂檢視和規則型警示。
此活頁簿也提供細微的擷取詳細資料。 活頁簿會依資料表細分工作區中的資料,並提供每個資料表和項目的資料量,協助您進一步了解擷取模式。
啟用工作區使用量報告活頁簿:
- 在 Microsoft Sentinel 左側導覽中,選取 [威脅管理] 和 [活頁簿]。>
- 在 [搜尋] 列中輸入「工作區使用量」,然後選取 [工作區使用量報告]。
- 選取 [檢視範本] 直接使用活頁簿,或選取 [儲存] 以建立活頁簿的可編輯複本。 如果是儲存複本,請選取 [檢視已儲存的活頁簿]。
- 在活頁簿中,選取您要檢視的 [訂閱] 和 [工作區],然後將 TimeRange 設為您要查看的時間範圍。 您可以將 [顯示說明] 切換為 [是],在活頁簿中顯示就地說明。
匯出成本資料
您也可以將成本資料匯出到儲存體帳戶。 匯出成本資料適用於您或其他人需要成本的資料深入分析時。 例如,財務小組可以使用 Excel 或 Power BI 來分析資料。 您可以根據每日、每週或每月排程來匯出成本,並設定自訂日期範圍。 若要取得成本資料集,建議採用匯出成本資料集的方式。
建立預算
您可以建立預算來管理成本,以及建立警示,以在出現異常消費和超支風險時自動通知利害關係人。 警示是以支出為基礎 (相較於預算和成本閾值)。 系統會為 Azure 訂用帳戶和資源群組建立預算和警示,因此在整體成本監視策略中十分實用。
如果監視要更細微,您也可以在 Azure 中篩選特定資源或服務來建立預算。 篩選器可協助確保您不會意外建立新的資源,而需要支付更多的費用。 如需有關建立預算時可用篩選選項的詳細資訊,請參閱群組和篩選選項。
使用劇本進行成本管理警示
為協助控制 Microsoft Sentinel 預算,您可以建立成本管理劇本。 如果在指定的時間範圍內,Microsoft Sentinel 工作區超過您定義的預算,則劇本會傳送警示。
Microsoft Sentinel GitHub 社群會在 GitHub 上提供 Send-IngestionCostAlert
成本管理劇本。 定期觸發程序會啟用此劇本,並提供高階彈性。 您可以根據需求控制執行頻率、擷取資料量或觸發程序的訊息。
定義 Log Analytics 中的資料量上限
在 Log Analytics 中,您可以啟用每日資料量上限,並限制工作區的每日擷取。 每日上限可協助您管理資料量非預期的增加、維持在限制範圍,以及限制非計劃性費用。
若要定義每日資料量的上限,請在 Log Analytics 工作區的左側導覽中,選取 [使用量和預估成本],然後選取 [每日上限]。 選取 [開啟],輸入每日資料量上限數量,然後選取 [確定]。
[使用量和預估成本] 畫面也會顯示過去 31 天擷取的資料量趨勢,以及保留的資料量總計。
如需詳細資訊,請參閱 在 Log Analytics 工作區上設定每日上限。
下一步
- 降低 Microsoft Sentinel 的成本
- 了解如何透過 Microsoft 成本管理將雲端投資最佳化。
- 深入了解如何使用成本分析管理成本。
- 了解如何避免非預期成本。
- 參加成本管理引導式學習課程。
- 如需減少 Log Analytics 資料量的其他秘訣,請參閱 Azure 監視器最佳做法 - 成本管理。