Reducción de los costos de Microsoft Sentinel

• S’aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo reducir los costos de Microsoft Sentinel, se le van a facturar todos los servicios y recursos de Azure que se usen en la suscripción de Azure, incluidos los servicios de asociados.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Establecer o cambiar el plan de tarifa

Para lograr el mayor ahorro, supervise el volumen de ingesta y asegúrese de que tiene el nivel de compromiso que mejor se adapta a sus patrones de volumen de ingesta. Considere la posibilidad de aumentar o disminuir el nivel de compromiso para adaptarse a los cambios de los volúmenes de datos.

Puede aumentar el nivel de compromiso en cualquier momento, que reinicia el período de compromiso de 31 días. Sin embargo, para volver al plan de pago por uso o a un nivel de compromiso inferior, debe esperar a que finalice el período de compromiso de 31 días. La facturación de los niveles de compromiso se realiza a diario.

Para ver el plan de tarifa actual de Microsoft Sentinel, seleccione Configuración en el panel de navegación izquierdo de Microsoft Sentinel y luego seleccione la pestaña Precios. El plan de tarifa actual está marcado como Nivel actual.

Para cambiar el compromiso de su plan de tarifa, seleccione uno de los otros niveles en la página de precios y, a continuación, seleccione Aplicar. Debe tener el rol Colaborador o Propietario en el área de trabado de Microsoft Sentinel para cambiar el plan de tarifa.

Para más información sobre cómo supervisar los costos, consulte Administración y supervisión de los costos de Microsoft Sentinel

En el caso de las áreas de trabajo que siguen usando planes de tarifa clásicos, los planes de tarifa de Microsoft Sentinel no incluyen cargos de Log Analytics. Para más información, consulte Planes de tarifa simplificados.

Compra de un plan de compra previa

Ahorre en los costos de Microsoft Sentinel al comprar previamente unidades de confirmación (CU) de Microsoft Sentinel. Use las CU compradas previamente en cualquier momento durante el período de compra de un año.

Todos los costos elegibles de Microsoft Sentinel se deducen primero de las CU compradas previamente de manera automática. No es necesario volver a implementar ni asignar un plan comprado previamente a las áreas de trabajo de Microsoft Sentinel para el uso de CU para obtener los descuentos de compra previa.

Para obtener más información, consulte Optimización de los costos de Microsoft Sentinel con un plan de compra previa.

Coloque los datos que no están relacionados con la seguridad en un área de trabajo diferente

Microsoft Sentinel analiza todos los datos ingeridos en áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel. Es mejor tener un área de trabajo independiente para los datos de operaciones no relacionadas con la seguridad para garantizar que no incurran en costos de Microsoft Sentinel.

Al buscar o investigar amenazas en Microsoft Sentinel, es posible que tenga que acceder a los datos operativos almacenados en estas áreas de trabajo independientes de Azure Log Analytics. Puede acceder a estos datos mediante consultas entre áreas de trabajo en la experiencia de exploración de registros y los libros. Pero no puede usar reglas de análisis ni consultas de búsqueda entre áreas de trabajo a menos que Microsoft Sentinel esté habilitado en todas las áreas de trabajo.

Selección de tipos de registro de bajo costo para datos de alto volumen y de bajo valor

Aunque los registros de análisis estándar son más adecuados para la detección de amenazas continua y en tiempo real, otros dos tipos de registro (registros básicos y registros auxiliares) son más adecuados para consultas ad hoc y la búsqueda de registros detallados, de alto volumen y de bajo valor que no son necesarios con frecuencia o a los que se accede a petición. Habilite la ingesta básica de datos de registro con un costo considerablemente reducido o la ingesta de datos de registro auxiliar (ahora en versión preliminar) a un costo aún menor para las tablas de datos aptas. Para más información, consulte Precios de Microsoft Sentinel.

• Planes de retención de registros en Microsoft Sentinel
• Orígenes de registro que se usarán para la ingesta de registros auxiliares

Optimice los costos de Log Analytics con clústeres dedicados

Si ingiere al menos 500 GB en el área o las áreas de trabajo de Microsoft Sentinel de la misma región, considere la posibilidad de migrar a un clúster dedicado de Log Analytics para reducir los costos. Un nivel de compromiso de clúster dedicado de Log Analytics agrega el volumen de datos en áreas de trabajo que ingieren colectivamente un total de 500 GB o más. Para más información, consulte Planes de tarifa simplificados para un clúster dedicado.

Puede agregar varias áreas de trabajo de Microsoft Sentinel a un clúster dedicado de Log Analytics. Hay un par de ventajas en el uso de un clúster dedicado de Log Analytics para Microsoft Sentinel:

• Las consultas entre áreas de trabajo se ejecutan más rápido si todas las áreas de trabajo implicadas en la consulta están en el clúster dedicado. Sigue siendo mejor tener el menor número de áreas de trabajo posible en el entorno y un clúster dedicado que conserva el límite de 100 áreas de trabajo para incluirlas en una sola consulta entre áreas de trabajo.

• Todas las áreas de trabajo del clúster dedicado pueden compartir el nivel de compromiso de Log Analytics establecido en el clúster. No tener que confirmar niveles de compromiso de Log Analytics independientes para cada área de trabajo puede permitir ahorrar costos y eficiencias. Al habilitar un clúster dedicado, confirma un nivel de compromiso mínimo de Log Analytics de ingesta de 500 GB.

Estas son otras consideraciones para pasar a un clúster dedicado para la optimización de costos:

• El número máximo de clústeres por región y suscripción es dos.
• Todas las áreas de trabajo vinculadas a un clúster deben estar en la misma región.
• El número máximo de áreas de trabajo vinculadas a un clúster es 1000.
• Puede desvincular un área de trabajo vinculada de su clúster. El número de operaciones de vinculación en un área de trabajo determinada en un período de 30 días se limita a dos.
• No puede mover un área de trabajo existente a un clúster de claves administradas por el cliente (CMK). Debe crear el área de trabajo en el clúster.
• Actualmente no se admite el traslado de un clúster a otro grupo de recursos o a otra suscripción.
• Se produce un error en un vínculo de área de trabajo a un clúster si el área de trabajo está vinculada a otro clúster.

Para más información sobre los clústeres dedicados, consulte Clústeres dedicados de Log Analytics.

Reducción de los costos de retención de datos con la retención a largo plazo

Microsoft Sentinel conserva los datos de manera predeterminada e interactiva durante los primeros 90 días. Para ajustar el período de retención de datos en Log Analytics, seleccione Utilización y costos estimados en el panel de navegación izquierdo, seleccione Retención de datos y, después, ajuste el control deslizante.

Los datos de seguridad de Microsoft Sentinel podrían perder parte de su valor después de unos meses. Es posible que los usuarios del centro de operaciones de seguridad (SOC) no necesiten acceder a los datos más antiguos con tanta frecuencia como los datos más recientes, pero puede que necesiten acceder a los datos con fines de auditoría o investigaciones esporádicas.

Para ayudarle a reducir los costos de retención de datos de Microsoft Sentinel, Azure Monitor ahora ofrece retención a largo plazo. Los datos que superan su estado de retención interactivo todavía se pueden conservar durante un máximo de 12 años, a un costo mucho menor y con limitaciones de uso. Para obtener más información, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

Puede reducir aún más los costos mediante la inscripción de las tablas que contienen datos de seguridad secundarios en el plan Registros auxiliares (ahora en versión preliminar). Este plan le permite almacenar registros de alto volumen y de bajo valor a un precio bajo, con un período de retención interactivo de 30 días de menor costo al principio para permitir el resumen y las consultas básicas. Para más información sobre el plan Registros auxiliares y otros planes, vea Planes de retención de registros en Microsoft Sentinel. Aunque el plan de registros auxiliares permanece en versión preliminar, también tiene la opción de inscribir estas tablas en el plan Registros básicos. Los registros básicos ofrecen una funcionalidad similar a los registros auxiliares, pero con menos ahorro de costos.

Uso de reglas de recopilación de datos para los eventos de seguridad de Windows

El conector de eventos de seguridad de Windows permite transmitir eventos de seguridad desde cualquier equipo con Windows Server que esté conectado al área de trabajo de Microsoft Sentinel, incluidos servidores físicos, virtuales o locales, o en cualquier nube. Este conector incluye compatibilidad con el agente de Azure Monitor, que usa reglas de recopilación de datos para definir los datos que se recopilan de cada agente.

Las reglas de recopilación de datos permiten administrar la configuración de la recopilación a gran escala y, al mismo tiempo, permiten configuraciones únicas con ámbito para subconjuntos de máquinas. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor para obtener más información.

Además de los conjuntos predefinidos de eventos que puede seleccionar para la ingesta, como Todos los eventos, Mínimo o Común, las reglas de recopilación de datos permiten crear filtros personalizados y seleccionar eventos específicos para su ingesta. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos seleccionados, sin tener en cuenta el resto. La selección de eventos específicos para la ingesta puede ayudarle a optimizar los costos y ahorrar más.

Pasos siguientes

• Aprenda a optimizar su inversión en la nube con Microsoft Cost Management.
• Obtenga más información sobre la administración de costos con los análisis de costos.
• Obtenga información sobre cómo evitar los costos inesperados.
• Haga el curso de aprendizaje guiado sobre Cost Management.
• Para más sugerencias sobre cómo reducir el volumen de datos de Log Analytics, consulte Procedimientos recomendados de Azure Monitor: Administración de costos.