Sdílet prostřednictvím


Odhad nákladů pomocí kalkulačky nákladů programu Microsoft Defender for Cloud

Kalkulačka nákladů programu Microsoft Defender for Cloud je užitečný nástroj pro odhad potenciálních nákladů spojených s vašimi potřebami zabezpečení cloudu. Umožňuje konfigurovat různé plány a prostředí a poskytuje podrobný rozpis nákladů včetně možných slev.

Přístup k kalkulačce nákladů

Pokud chcete začít používat kalkulačku nákladů v programu Defender for Cloud, přejděte do části Nastavení prostředí v programu Microsoft Defender for Cloud. Vyberte tlačítko Kalkulačka nákladů v horní části rozhraní.

Snímek obrazovky s tlačítkem kalkulačky nákladů v nastavení prostředí

Konfigurace plánů a prostředí Defenderu pro cloud

Na první stránce kalkulačky vyberte tlačítko Přidat prostředky a začněte přidávat prostředky do výpočtu nákladů. K přidání prostředků máte tři metody:

Snímek obrazovky znázorňuje, jak přidat prostředky v kalkulačce nákladů

Poznámka:

Plány rezervací (P3) pro Defender for Cloud se nepovažují.

Přidání prostředků pomocí skriptu

  1. Zvolte typ prostředí (Azure, AWS nebo GCP) a zkopírujte skript do nového souboru *.ps1.

    Poznámka:

    Skript shromažďuje jenom informace, ke kterým má uživatel spuštěný přístup.

  2. Spusťte skript v prostředí PowerShell 7.X pomocí privilegovaného uživatelského účtu. Skript shromažďuje informace o fakturovatelných prostředcích a vytvoří soubor CSV. Shromažďuje informace ve dvou krocích. Nejprve shromažďuje aktuální počet fakturovatelných aktiv, které obvykle zůstávají konstantní. Za druhé shromažďuje informace o fakturovatelných aktivech, které se můžou během měsíce hodně měnit. U těchto prostředků kontroluje využití za posledních 30 dnů a vyhodnocuje náklady. Skript můžete zastavit po prvním kroku, což trvá několik sekund. Nebo můžete dál shromažďovat využití dynamických prostředků za posledních 30 dnů, což může u velkých účtů trvat déle.

  3. Nahrajte tento soubor CSV do průvodce, do kterého jste skript stáhli.

  4. Vyberte požadovaný plán Defenderu pro cloud. Kalkulačka odhaduje náklady na základě vašeho výběru a jakýchkoli existujících slev.

Poznámka:

  • Plány rezervací pro Defender for Cloud se nepovažují.
  • For Defender for API: Při výpočtu nákladů na základě počtu volání rozhraní API za posledních 30 dnů automaticky vybereme nejlepší plán Defenderu pro rozhraní API. Pokud během posledních 30 dnů neexistují žádná volání rozhraní API, plán pro účely výpočtu automaticky zakážeme.

Snímek obrazovky znázorňuje, jak přidat prostředky pomocí skriptu.

Požadovaná oprávnění pro skripty

Tato část obsahuje přehled oprávnění potřebných ke spuštění skriptů pro každého poskytovatele cloudu.

Azure

Pokud chcete tento skript úspěšně spustit pro každé předplatné, účet, který používáte, potřebuje oprávnění, která mu umožňují:

  • Zjišťování a výpis prostředků (včetně virtuálních počítačů, účtů úložiště, služeb APIM, účtů Cosmos DB atd.).

  • Dotazování na Resource Graph (přes Search-AzGraph)

  • Přečtěte si metriky (prostřednictvím get-AzMetric a rozhraní API služby Azure Monitor nebo Insights).

Doporučená předdefinovaná role:

Ve většině případů stačí role Čtenář v oboru předplatného. Role Čtenář poskytuje následující klíčové funkce, které tento skript potřebuje:

  • Přečtěte si všechny typy prostředků (abyste mohli vypsat a analyzovat věci, jako jsou účty úložiště, virtuální počítače, Cosmos DB a APIM atd.).
  • Přečtěte si metriky (Microsoft.Insights/metrics/read), aby volání get-AzMetric nebo přímé dotazy REST služby Azure Monitor proběhly úspěšně.
  • Dotazy Služby Resource Graph fungují, pokud máte alespoň přístup pro čtení k těmto prostředkům v předplatném.

Poznámka:

Pokud si chcete být jistí, že máte potřebná oprávnění metrik, můžete také použít roli Čtenář monitorování. Standardní role Čtenář ale už zahrnuje přístup pro čtení k metrikám a obvykle je vše, co potřebujete.

Pokud už máte role Přispěvatel nebo Vlastník:

  • Přispěvatel nebo vlastník předplatného je více než dost (tyto role mají vyšší oprávnění než Čtenář).
  • Skript neprovádí vytváření ani odstraňování prostředků. Proto může být udělení rolí vysoké úrovně (jako přispěvatel/vlastník) pro jediný účel shromažďování dat z hlediska nejnižších oprávnění nad úroveň.

Souhrn:

Udělení role čtenáře (nebo jakékoli vyšší privilegované role) uživateli nebo instančnímu objektu v každém předplatném, které chcete dotazovat, zajistí, že skript může:

  • Načtěte seznam předplatných.
  • Zobrazení výčtu a čtení všech relevantních informací o prostředcích (prostřednictvím REST nebo Az PowerShellu)
  • Načtěte potřebné metriky (požadavky na APIM, spotřeba RU pro Cosmos DB, příchozí přenos dat účtů úložiště atd.).
  • Spusťte dotazy Resource Graphu bez problému.
AWS

Následuje přehled oprávnění, která vaše identita AWS (uživatel nebo role) potřebuje k úspěšnému spuštění tohoto skriptu. Skript vytvoří výčet prostředků (EC2, RDS, EKS, S3 atd.) a načte metadata pro tyto prostředky. Nevytvoří, upraví ani neodstraní prostředky, takže ve většině případů stačí přístup jen pro čtení.

Spravovaná zásada AWS: ReadOnlyAccess nebo ViewOnlyAccess

Nejjednodušším přístupem je připojit některou z předdefinovaných zásad AWS jen pro čtení k objektu zabezpečení IAM (uživatel nebo role), který tento skript spouští. Příkladem může být:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Kterákoliv z těchto možností popisuje a uvádí oprávnění pro většinu služeb AWS. Pokud to zásady zabezpečení vašeho prostředí umožňují, je nejjednodušší způsob, jak zajistit, aby skript fungoval ve všech prostředcích AWS, které vyčísluje.

Klíčové služby a požadovaná oprávnění:

Pokud potřebujete podrobnější přístup s vlastní zásadou IAM, musíte povolit následující služby a oprávnění:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (pro načtení informací o virtuálním procesoru nebo jádru)
  • Vzdálená plocha
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Automatické škálování (pro základní instance skupin uzlů EKS)
    • automatické škálování:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (pro načtení ID účtu AWS)

Pokud navíc potřebujete vypsat další prostředky, které se ve skriptu nezobrazují, nebo pokud plánujete rozbalit možnosti skriptu, podle potřeby udělte příslušné akce Describe*, List* a Get*.

Souhrn:

  • Nejjednodušším způsobem je připojit předdefinované zásady ReadOnlyAccess pro AWS, které už zahrnují všechny akce potřebné k výpisu a popisu EC2, RDS, EKS, S3, automatického škálování prostředků a volání služby STS, abyste získali informace o vašem účtu.
  • Pokud chcete jenom dostatečná oprávnění, vytvořte vlastní zásadu jen pro čtení s výše uvedenými akcemi Describe*, List* a Get* pro AKCE EC2, RDS, EKS, Auto Scaling, S3 a STS.

Oba přístupy poskytují skriptu dostatečná oprávnění k:

  • Seznam oblastí
  • Načtěte metadata instance EC2.
  • Načtěte instance RDS.
  • Uveďte a popište clustery EKS a skupiny uzlů (a základní skupiny automatického škálování).
  • Vypsat kontejnery S3
  • Získejte ID účtu AWS prostřednictvím služby STS.

Tím se zajistí, že skript může zjišťovat prostředky a načítat relevantní metadata bez vytváření, úprav nebo odstraňování čehokoli.

GCP

Následuje přehled oprávnění, která uživatel nebo účet služby GCP potřebuje k úspěšnému spuštění tohoto skriptu. Stručně řečeno, skript musí ve zvoleném projektu vypsat a popsat prostředky (instance virtuálních počítačů, cloudové SQL, clustery GKE a kontejnery GCS).

Nejjednodušší přístup k zajištění přístupu jen pro čtení napříč všemi těmito prostředky uděluje vašemu uživateli nebo účtu služby roli role/čtenáře na úrovni projektu (stejný projekt, který vyberete prostřednictvím projektu sady konfigurace gcloudu).

Role/role čtenáře zahrnují přístup jen pro čtení k většině služeb GCP v rámci daného projektu, včetně potřebných oprávnění pro:

  • Výpočetní modul (výpis instancí virtuálních počítačů, šablon instancí, typy počítačů atd.).
  • Cloud SQL (výpis instancí SQL).
  • Kubernetes Engine (výpis clusterů, fondů uzlů atd.).
  • Cloud Storage (kontejnery seznamů)

Podrobná oprávnění podle služby (pokud vytváříte vlastní roli):

Pokud dáváte přednost podrobnějšímu přístupu, můžete pro každou službu vytvořit vlastní roli nebo sadu rolí, které souhrnně udělují jenom potřebné akce pro čtení a seznam:

  • Výpočetní modul (pro instance virtuálních počítačů, oblasti, šablony instancí, správci skupin instancí):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • container.clusters.list
    • container.clusters.get (potřeba při popisu clusterů)
    • container.nodePools.list
    • container.nodePools.get
  • Cloudové úložiště:
    • storage.buckets.list

Skript nevytváří ani neupravuje žádné prostředky, takže nevyžaduje oprávnění k aktualizaci ani odstranění – jenom seznam, získání nebo popis oprávnění typu.

Souhrn:

  • Použití rolí a prohlížeče na úrovni projektu je nejrychlejším a nejpřímějším způsobem, jak udělit dostatečná oprávnění pro úspěch tohoto skriptu.
  • Pokud potřebujete nejtěsnější přístup s nejnižšími oprávněními, vytvořte nebo zkombinujte vlastní role, které obsahují jenom příslušný seznam, popis nebo získání akcí pro výpočetní modul, Cloud SQL, GKE a Cloudové úložiště.

S těmito oprávněními může skript:

  • Ověřování (přihlášení ověřování gcloudu)
  • Výpis instancí virtuálních počítačů, typů počítačů, správců skupin instancí atd.
  • Výpis instancí SQL cloudu
  • Seznam a popis clusterů GKE a fondů uzlů
  • Vypsat kontejnery GCS

Tento přístup na úrovni čtení umožňuje vytvářet výčty prostředků a shromažďovat metadata beze změny nebo vytváření prostředků.

Přiřazení onboardovaných prostředků

  1. Vyberte ze seznamu prostředí Azure, která jsou už nasazená do programu Defender for Cloud, aby se zahrnula do výpočtu nákladů.

    Poznámka:

    Zahrneme jenom prostředky, ke které jsme dostali oprávnění během onboardingu.

  2. Zvolte plány. Kalkulačka odhaduje náklady na základě vašich výběrů a jakýchkoli existujících slev.

Snímek obrazovky znázorňuje, jak přiřadit onboardované prostředky

Přiřazení vlastních prostředků

  1. Zvolte název vlastního prostředí.
  2. Zadejte plány a počet fakturovatelných aktiv pro každý plán.
  3. Vyberte typy aktiv, které chcete zahrnout do výpočtu nákladů.
  4. Kalkulačka odhaduje náklady na základě vašich vstupů a jakýchkoli existujících slev.

Poznámka:

Plány rezervací pro Defender for Cloud se nepovažují.

Snímek obrazovky znázorňuje, jak přidat vlastní prostředí

Úprava sestavy

Po vygenerování sestavy můžete plány a počet fakturovatelných prostředků upravit:

  1. Vyberte prostředí, které chcete upravit, výběrem ikony pro úpravy (tužka).
  2. Zobrazí se stránka konfigurace, která vám umožní upravit plány, počet fakturovatelných aktiv a průměrnou měsíční dobu.
  3. Výběrem tlačítka Přepočítat aktualizujte odhad nákladů.

Export sestavy

Jakmile budete se sestavou spokojeni, můžete ji exportovat jako soubor CSV:

  1. Vyberte tlačítko Exportovat do sdíleného svazku clusteru umístěné v dolní části panelu Souhrn vpravo.
  2. Informace o nákladech se stáhnou jako soubor CSV.

Nejčastější dotazy

Co je kalkulačka nákladů?

Cenová kalkulačka je nástroj navržený tak, aby zjednodušil proces odhadu nákladů na vaše potřeby ochrany zabezpečení. Když definujete rozsah požadovaných plánů a prostředí, kalkulačka poskytuje podrobný rozpis potenciálních výdajů včetně případných slev.

Jak kalkulačka nákladů funguje?

Kalkulačka umožňuje vybrat prostředí a plány, které chcete povolit. Potom provede proces zjišťování, který automaticky naplní počet fakturovatelných jednotek pro každý plán na každé prostředí. Můžete také ručně upravit množství jednotek a úrovně slev.

Co je proces zjišťování?

Proces zjišťování vygeneruje sestavu vybraného prostředí, včetně inventáře fakturovatelných prostředků různými plány Defenderu pro cloud. Tento proces je založen na uživatelských oprávněních a stavu prostředí v době zjišťování. U velkých prostředí může tento proces trvat přibližně 30 až 60 minut, protože se vzorkují také dynamické prostředky.

Musím k provedení procesu zjišťování udělit nějaké zvláštní oprávnění pro kalkulačku nákladů?

Kalkulačka nákladů používá stávající oprávnění uživatele ke spuštění skriptu a automatickému zjišťování, aby shromáždila potřebná data, aniž by vyžadovala další přístupová práva. Informace o oprávněních, která uživatel potřebuje ke spuštění skriptu, najdete v části Požadovaná oprávnění pro skripty .

Predikují odhady přesně moje náklady?

Kalkulačka poskytuje odhad na základě informací dostupných při spuštění skriptu. Konečné náklady můžou ovlivnit různé faktory, takže by se měly považovat za přibližný výpočet.

Jaké jsou fakturovatelné jednotky?

Náklady na plány jsou založené na jednotkách, které chrání. Každý plán se účtuje za jiný typ jednotky, který najdete na stránce Nastavení cloudu v Programu Microsoft Defender.

Můžu odhady upravit ručně?

Ano, kalkulačka nákladů umožňuje automatické shromažďování dat i ruční úpravy. Můžete upravit množství jednotek a úrovně slev, aby lépe odrážely vaše konkrétní potřeby, a podívat se, jak tyto změny ovlivňují celkové náklady.

Podporuje kalkulačka více poskytovatelů cloudu?

Ano, nabízí podporu pro více cloudů a zajišťuje, abyste mohli získat přesné odhady nákladů bez ohledu na svého poskytovatele cloudu.

Jak můžu sdílet odhad nákladů?

Jakmile vygenerujete odhad nákladů, můžete ho snadno exportovat a sdílet pro plánování a schvalování rozpočtu. Tato funkce zajišťuje, aby všichni účastníci měli přístup k potřebným informacím.

Kde získám pomoc, pokud mám dotazy?

Náš tým podpory vám může pomoct s případnými dotazy nebo obavami. Neváhejte nás kontaktovat a požádat o pomoc.

Jak si můžu vyzkoušet kalkulačku nákladů?

Zveme vás, abyste si vyzkoušeli novou kalkulačku nákladů a vyzkoušeli její výhody jako první. Přejděte k nástroji a začněte definovat rozsah ochrany, který je potřeba začít. Pokud chcete použít kalkulačku nákladů v programu Defender for Cloud, přejděte do nastavení Microsoft Defenderu pro cloud a vyberte tlačítko Kalkulačka nákladů v horní části.