Sdílet prostřednictvím

Správa a monitorování nákladů pro Microsoft Sentinel

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jakmile začnete používat prostředky Microsoft Sentinelu, využijte integrované funkce služby Cost Management ke správě rozpočtů, monitorování nákladů a výkonu zabezpečení. Můžete také zkontrolovat předpokládané náklady a identifikovat trendy útraty pro optimalizaci. S povoleným datovým jezerem Sentinel můžete také zobrazit využití přímo na portálu Microsoft Defender.

Náklady na Microsoft Sentinel jsou jenom část měsíční faktury za Azure. I když tento článek vysvětluje, jak spravovat a monitorovat náklady na Microsoft Sentinel, účtují se vám všechny služby a prostředky Azure, které vaše předplatné Azure používá, včetně partnerských služeb.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Pokud chcete zobrazit data nákladů a provádět analýzu nákladů ve službě Cost Management, musíte mít podporovaný typ účtu Azure s alespoň přístupem pro čtení.

Analýza nákladů ve službě Cost Management sice podporuje většinu typů účtů Azure, ale nepodporují se všechny. Úplný seznam podporovaných typů účtů najdete v tématu Vysvětlení dat služby Cost Management.

Informace o přiřazování přístupu k datům služby Microsoft Cost Management najdete v tématu Přiřazení přístupu k datům.

Správa a monitorování nákladů na analytickou úroveň

Při používání prostředků Azure s Microsoft Sentinelem se účtují náklady. Náklady na jednotku využití prostředků Azure se liší podle časových intervalů, jako jsou sekundy, minuty, hodiny a dny nebo podle využití jednotek, jako jsou bajty a megabajty.

Zobrazení nákladů pomocí analýzy nákladů

Jakmile Microsoft Sentinel začne zpracovávat fakturovatelná data, vzniknou náklady. Tyto náklady můžete zobrazit pomocí analýzy nákladů na webu Azure Portal. Další informace najdete v tématu Začínáme s analýzou nákladů.

Když používáte analýzu nákladů, zobrazíte náklady na Microsoft Sentinel v grafech a tabulkách pro různé časové intervaly. Příklady jsou podle dne, aktuálního a předchozího měsíce a roku. Také zobrazíte náklady ve srovnání s rozpočty a předpokládanými náklady. Přechod na delší zobrazení z časového hlediska vám může pomoci identifikovat trendy ve výdajích. A uvidíte, kde mohlo dojít k nadměrným výdajům. Pokud jste vytvořili rozpočty, můžete také snadno zjistit, kde jsou překročeny.

Centrum Microsoft Cost Management a fakturace poskytuje užitečné funkce. Po otevření služby Cost Management a fakturace na webu Azure Portal vyberte v levém navigačním panelu službu Cost Management a pak vyberte rozsah nebo sadu prostředků, které chcete prozkoumat, jako je předplatné Azure nebo skupina prostředků.

Na obrazovce Analýza nákladů se zobrazují podrobná zobrazení využití a nákladů v Azure s možností použít různé ovládací prvky a filtry.

Pokud například chcete zobrazit grafy denních nákladů pro určitý časový rámec:

  1. V poli Zobrazit klikněte na šipku rozevírací nabídky a vyberte Kumulované náklady nebo Denní náklady.

  2. V poli data vyberte šipku rozevíracího seznamu a zvolte rozsah dat.

  3. Vyberte rozbalovací šipku vedle Granularita a zvolte Denně.

    Náklady zobrazené na následujícím obrázku jsou pouze pro ilustrativní účely. Nemají v úmyslu odrážet skutečné náklady.

    Snímek obrazovky s analýzou nákladů na správu a fakturaci.

Můžete také použít další ovládací prvky. Pokud chcete například zobrazit jenom náklady spojené se službou Microsoft Sentinel, vyberte Přidat filtr, vyberte Název služby a pak vyberte názvy služeb Sentinel, Log Analytics a Azure Monitor.

Objemy příjmu dat analytické úrovně Služby Microsoft Sentinel se zobrazují v části Přehledy zabezpečení v některých grafech využití portálu.

Klasické cenové úrovně služby Microsoft Sentinel nezahrnují poplatky za Log Analytics, takže se vám tyto poplatky můžou účtovat samostatně. Zjednodušená cenová služba Microsoft Sentinel kombinuje tyto dva náklady do jedné sady úrovní. Další informace o cenových úrovních služby Microsoft Sentinel najdete v tématu Vysvětlení celého fakturačního modelu pro Microsoft Sentinel.

Další informace o snížení nákladů najdete v tématu Vytváření rozpočtů a snížení nákladů v Microsoft Sentinelu.

Spouštějte dotazy, abyste porozuměli příjmu dat do analytické vrstvy.

Microsoft Sentinel používá rozsáhlý dotazovací jazyk k analýze, interakci a odvozování přehledů z obrovských objemů provozních dat v sekundách. Tady jsou některé dotazy Kusto, které můžete použít k pochopení objemu příjmu dat.

Spuštěním následujícího dotazu zobrazte objem příjmu dat podle řešení:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Spuštěním následujícího dotazu zobrazte objem příjmu dat podle datového typu:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Spuštěním následujícího dotazu zobrazte objem příjmu dat podle řešení i datového typu:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci Kusto:

Další informace o KQL najdete v přehledu jazyka Kusto Query Language (KQL).

Další zdroje informací:

Nasazení sešitu pro vizualizaci příjmu dat do analytické úrovně

Sešit Přehled využití pracovního prostoru poskytuje údaje o spotřebě dat, nákladech a statistikách využití vašeho pracovního prostoru. Sešit poskytuje stav zpracování dat pracovního prostoru a objem bezplatných a placených dat. Logiku sešitu můžete použít k monitorování příjmu dat a nákladů a k vytváření vlastních zobrazení a upozornění založených na pravidlech.

Tento sešit také poskytuje podrobné podrobnosti o příjmu dat. Sešit rozdělí data v pracovním prostoru podle tabulky dat a poskytuje svazky na tabulku a položku, které vám pomůžou lépe porozumět vzorcům příjmu dat.

Chcete-li povolit sešit zprávy o využití pracovního prostoru:

  1. V levém navigačním panelu Služby Microsoft Sentinel vyberte Správa hrozeb>sešity.
  2. Do vyhledávacího panelu zadejte využití pracovního prostoru a pak vyberte Zpráva o využití pracovního prostoru.
  3. Vyberte Zobrazit šablonu, pokud chcete použít sešit tak, jak je, nebo vyberte Uložit pro vytvoření upravitelné kopie sešitu. Pokud uložíte kopii, vyberte Zobrazit uložený sešit.
  4. V sešitu vyberte předplatné a pracovní prostor , které chcete zobrazit, a nastavte časový rámec, který chcete zobrazit. Pokud chcete zobrazit místní vysvětlení v sešitu, můžete nastavit přepínač Zobrazit nápovědu na ano .

Export nákladových dat

Nákladová data můžete také exportovat do účtu úložiště. Export dat nákladů je užitečný v případě, že potřebujete nebo jiní uživatelé potřebují další analýzu dat pro náklady. Finanční tým může například analyzovat data pomocí Excelu nebo Power BI. Náklady můžete exportovat denně, týdně nebo měsíčně a nastavit vlastní rozsah kalendářních dat. Exportování dat o nákladech je doporučovaný způsob načtení datových sad nákladů.

Tvorba rozpočtů

Můžete vytvářet rozpočty pro sledování nákladů a vytváření výstrah , které automaticky informují zúčastněné strany o anomáliích útraty a rizikech přetížení. Upozornění jsou založena na porovnání útraty s rozpočtem a prahovými hodnotami nákladů. Rozpočty a upozornění se vytvářejí pro předplatná Azure a skupiny prostředků, takže jsou užitečné jako součást celkové strategie monitorování nákladů.

Rozpočty můžete vytvářet s filtry pro konkrétní prostředky nebo služby v Azure, pokud chcete jemnější úroveň podrobnosti v monitorování. Filtry pomáhají zajistit, že neúmyslně nevytváříte nové zdroje, které vás budou stát více peněz. Další informace o možnostech filtru, které jsou k dispozici při vytváření rozpočtu, najdete v tématu Možnosti skupiny a filtru.

Používejte plán pro upozornění na správu nákladů

Abyste mohli řídit rozpočet úrovně Analytiky, můžete vytvořit příručku pro řízení nákladů. Playbook vám pošle upozornění, pokud váš pracovní prostor Microsoft Sentinelu překročí rozpočet, který definujete v daném časovém rámci.

Komunita Microsoft Sentinel na GitHubu poskytuje Send-IngestionCostAlert příručku pro správu nákladů na GitHubu. Tato příručka je aktivována spouštěčem opakování a poskytuje vám vysokou míru flexibility. Frekvenci spouštění, objem příjmu dat a zprávu, která se má aktivovat, můžete řídit na základě vašich požadavků.

Řízení a sledování nákladů pro vrstvu Data Lake

Po nasazení se využití funkcí vrstvy Data Lake účtuje pomocí nových měřičů data Lake služby Microsoft Sentinel. Další informace o nových měřičích najdete v části Data Lake Tier.

Správa nákladů služby Microsoft Sentinel na portálu Microsoft Defender

Nové prostředí správy nákladů, které je aktuálně ve verzi Preview a v rámci služby Microsoft Sentinel>Cost Management na portálu Microsoft Defender, pomáhá spravovat a monitorovat náklady spojené s používáním vrstvy Data Lake.

Důležité

Abyste mohli získat přístup ke stránkám správy nákladů služby Sentinel, musíte mít role Správce fakturace i Správce zabezpečení.

Usage

Souhrn využití umožňuje vizualizovat využití podle možností v průběhu času. Výběrem měřiče v rozevíracím seznamu Měřiče zobrazíte jeho využití. Po výběru se pro vybraný časový rozsah zobrazí denní využití. Ve výchozím nastavení se data zobrazují po dobu jednoho měsíce, ale pomocí filtru můžete upravit časové okno. Souhrnná karta zobrazuje celkové využití pro vybrané období.

Snímek obrazovky se souhrnným grafem využití ve službě Microsoft Sentinel Cost Management

Po souhrnném grafu se podrobnosti o využití liší podle měřiče. U dotazů Data Lake a rozšířených přehledů dat je využití rozdělené mezi interaktivní analýzu a plánovanou analýzu.

Snímek obrazovky s podrobnostmi o využití rozdělenými podle typu analýzy pro vybrané měřiče

Po grafech poskytuje tabulka rozpis prostředků, které přispívají k využití vybraného měřiče.

Snímek obrazovky tabulky využití zobrazující prostředky přispívající k využití měřiče

Výběrem zdroje zobrazíte podrobný přehled na bočním panelu.

Snímek obrazovky bočního panelu s podrobným rozpisem využití prostředků

Notification

Průvodce konfigurací zásad umožňuje nastavit upozornění založená na prahových hodnotách pro možnosti datového jezera Microsoft Sentinelu. Tyto zásady vám pomůžou sledovat využití a dostávat e-mailová oznámení před neočekávanými poplatky. V současné době se e-mailová oznámení odesílají správci fakturace, který zásadu nakonfiguroval.

Můžete také povolit vynucení prahové hodnoty, aby po překročení nakonfigurovaného limitu zablokovalo využití. Vynucení je podporováno pro:

  • Data Lake Query (interaktivní dotazy a úlohy KQL)

  • Advanced Data Insights (spuštění poznámkového bloku a úlohy poznámkového bloku)

Po povolení vynucení a překročení prahové hodnoty se budoucí dotazy, úlohy nebo relace nezdaří. Uživatelům se zobrazí chyba překročení limitu označující, že jste dosáhli nakonfigurovaného limitu.

Poznámka:

Vynucování neprobíhá v reálném čase. Po dosažení limitu může trvat až 4 hodiny , než se vynucená prahová hodnota projeví.

Konfigurace upozornění nebo vynucených prahových hodnot pro funkci:

  1. Veslužbě> Cost Management vyberte v pravém horním rohu možnost Konfigurovat zásady.

    Snímek obrazovky s tlačítkem Konfigurovat zásady ve službě Microsoft Sentinel Cost Management

  2. Na stránce Konfigurovat zásady vyberte zásadu, kterou chcete upravit.

    Snímek obrazovky se stránkou Konfigurace zásad s vybranou zásadou

  3. Na bočním panelu Upravit zásadu zadejte hodnotu pro celkovou prahovou hodnotu.

    Snímek obrazovky s panelem Upravit zásadu se vstupem celkové prahové hodnoty

  4. Zadejte procento upozornění , které definuje, kdy se e-mailová oznámení odesílají vzhledem k celkové prahové hodnotě.

    Snímek obrazovky s nastavením procenta upozornění na panelu Upravit zásadu

  5. Pro zablokování využití po překročení prahové hodnoty povolte Enforcement.

    Snímek obrazovky s přepínačem vynucení, který je povolený na panelu Upravit zásadu

  6. Zkontrolujte nastavení a vyberte Odeslat.

    Snímek obrazovky s odesíláním nastavení zásad v pracovním postupu Konfigurace zásad

  7. Po aktivaci prosazení a překročení nakonfigurované prahové hodnoty, selžou podporované akce. U KQL a Poznámkových bloků se uživatelům zobrazí chyba Překročení limitu .

    Snímek obrazovky s chybou Překročení limitu po aktivaci vynucení prahové hodnoty

Použití předplacených služeb Azure se službou Microsoft Sentinel

Poplatky za Microsoft Sentinel můžete platit pomocí zálohového kreditu Azure. Kredit azure Prepayment nemůžete použít k úhradě jiných organizací než Microsoftu za produkty a služby ani pro produkty z Azure Marketplace.

Další kroky

  • Last updated on