Snížení nákladů na Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Náklady na Microsoft Sentinel jsou jenom část měsíčních nákladů na faktuře za Azure. I když tento článek vysvětluje, jak snížit náklady na Microsoft Sentinel, účtuje se vám všechny služby a prostředky Azure, které vaše předplatné Azure používá, včetně partnerských služeb.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Nastavení nebo změna cenové úrovně

Pokud chcete optimalizovat nejvyšší úspory, monitorujte objem příjmu dat, abyste měli jistotu, že máte úroveň závazku, která nejvíce odpovídá vzorcům objemu příjmu dat. Zvažte zvýšení nebo snížení úrovně závazku, aby bylo v souladu s měnícími se objemy dat.

Úroveň závazku můžete kdykoli zvýšit, což restartuje 31denní období závazku. Pokud se ale chcete vrátit na průběžné platby nebo na nižší úroveň závazku, musíte počkat, až se dokončí 31denní období závazku. Fakturace úrovní závazku se provádí každý den.

Pokud chcete zobrazit aktuální cenovou úroveň Služby Microsoft Sentinel, vyberte v levém navigačním panelu Microsoft Sentinel nastavení a pak vyberte kartu Ceny . Vaše aktuální cenová úroveň je označená jako Aktuální úroveň.

Pokud chcete změnit závazek cenové úrovně, vyberte na stránce s cenami jednu z dalších úrovní a pak vyberte Použít. Abyste mohli změnit cenovou úroveň, musíte mít pro pracovní prostor Microsoft Sentinel přispěvatele nebo vlastníka .

Další informace o monitorování nákladů najdete v tématu Správa a monitorování nákladů pro Microsoft Sentinel.

U pracovních prostorů, které stále používají klasické cenové úrovně, nezahrnují cenové úrovně Služby Microsoft Sentinel poplatky za Log Analytics. Další informace najdete v tématu Zjednodušené cenové úrovně.

Zakoupení plánu před nákupem

Ušetřete na nákladech na Microsoft Sentinel při předběžném nákupu jednotek potvrzení Microsoft Sentinelu (CU). Předem zakoupené jednotky CU můžete kdykoli použít během období nákupu na jeden rok.

Všechny oprávněné náklady na Microsoft Sentinel se od předem zakoupených jednotek automaticky odečtou. Abyste mohli získat slevy před nákupem, nemusíte znovu nasazovat ani přiřazovat předem zakoupený plán k pracovním prostorům Služby Microsoft Sentinel pro využití CU.

Další informace najdete v tématu Optimalizace nákladů na Microsoft Sentinel pomocí plánu před nákupem.

Oddělení dat nesouvisených se zabezpečením v jiném pracovním prostoru

Microsoft Sentinel analyzuje všechna ingestovaná data do pracovních prostorů Log Analytics s podporou Služby Microsoft Sentinel. Nejlepší je mít samostatný pracovní prostor pro data operací nesouvisecí se zabezpečením, abyste měli jistotu, že neúčtují náklady na Microsoft Sentinel.

Při proaktivním vyhledávání nebo prošetřování hrozeb v Microsoft Sentinelu možná budete potřebovat přístup k provozním datům uloženým v těchto samostatných pracovních prostorech Služby Azure Log Analytics. K datům můžete přistupovat pomocí dotazování mezi pracovními prostory v prostředí pro zkoumání protokolů a sešitech. Nemůžete ale použít analytická pravidla a dotazy proaktivního vyhledávání mezi pracovními prostory, pokud není ve všech pracovních prostorech povolená služba Microsoft Sentinel.

Výběrtypůch

I když jsou standardní analytické protokoly nejvhodnější pro průběžnou detekci hrozeb v reálném čase, dva další typy protokolů – základní protokoly a pomocné protokoly – jsou vhodnější pro ad hoc dotazování a vyhledávání podrobných, velkoobsátových, nízkohodnotových protokolů, které nejsou často potřeba ani k němu nejsou na vyžádání přístupné. Povolte základní příjem dat protokolů s výrazně nižšími náklady nebo pomocný příjem dat protokolů (nyní ve verzi Preview) s ještě nižšími náklady pro způsobilé tabulky dat. Další informace najdete v tématu o cenách služby Microsoft Sentinel.

• Plány uchovávání protokolů v Microsoft Sentinelu
• Zdroje protokolů, které se mají použít pro příjem pomocných protokolů

Optimalizace nákladů na Log Analytics s využitím vyhrazených clusterů

Pokud do pracovního prostoru microsoft Sentinelu nebo pracovních prostorů ve stejné oblasti ingestujete alespoň 500 GB, zvažte přesun do vyhrazeného clusteru Služby Log Analytics, abyste snížili náklady. Úroveň závazku vyhrazeného clusteru Log Analytics agreguje objem dat napříč pracovními prostory, které souhrnně ingestují celkem 500 GB nebo více. Další informace najdete v tématu Zjednodušená cenová úroveň vyhrazeného clusteru.

Do vyhrazeného clusteru Log Analytics můžete přidat více pracovních prostorů Microsoft Sentinelu. Použití vyhrazeného clusteru Log Analytics pro Microsoft Sentinel má několik výhod:

• Dotazy napříč pracovními prostory běží rychleji, pokud jsou všechny pracovní prostory, které jsou součástí dotazu, ve vyhrazeném clusteru. Ve vašem prostředí je stále nejlepší mít co nejméně pracovních prostorů a vyhrazený cluster stále zachovává limit 100 pracovních prostorů pro zahrnutí do jednoho dotazu mezi pracovními prostory.

• Všechny pracovní prostory ve vyhrazeném clusteru můžou sdílet úroveň závazku Log Analytics nastavenou v clusteru. Nemusíte se zavázat k samostatným úrovním závazku Log Analytics pro každý pracovní prostor, což může usnadnit úspory nákladů a efektivitu. Povolením vyhrazeného clusteru se zapíšete na minimální úroveň závazku Log Analytics o 500 GB příjmu dat za den.

Tady jsou některé další aspekty přechodu na vyhrazený cluster pro optimalizaci nákladů:

• Maximální počet clusterů na oblast a předplatné je dva.
• Všechny pracovní prostory propojené s clusterem musí být ve stejné oblasti.
• Maximální počet pracovních prostorů propojených s clusterem je 1 000.
• Propojený pracovní prostor můžete odpojit od clusteru. Počet operací propojení v konkrétním pracovním prostoru je omezený na dva v období 30 dnů.
• Existující pracovní prostor nemůžete přesunout do clusteru klíče spravovaného zákazníkem (CMK). V clusteru musíte vytvořit pracovní prostor.
• Přesun clusteru do jiné skupiny prostředků nebo předplatného se v současné době nepodporuje.
• Propojení pracovního prostoru s clusterem selže, pokud je pracovní prostor propojený s jiným clusterem.

Další informace o vyhrazenýchclusterch

Snížení nákladů na uchovávání dat pomocí dlouhodobého uchovávání

Microsoft Sentinel uchovává data ve výchozím nastavení v interaktivním formátu po dobu prvních 90 dnů. Pokud chcete upravit dobu uchovávání dat v Log Analytics, vyberte v levém navigačním panelu využití a odhadované náklady , pak vyberte Možnost Uchovávání dat a pak upravte posuvník.

Data zabezpečení služby Microsoft Sentinel můžou po několika měsících ztratit určitou hodnotu. Uživatelé služby Security Operations Center (SOC) nemusí potřebovat přístup ke starším datům tak často jako novější data, ale přesto můžou potřebovat přístup k datům pro občasné šetření nebo účely auditu.

Azure Monitor teď nabízí dlouhodobé uchovávání dat, aby vám pomohl snížit náklady na uchovávání dat v Microsoft Sentinelu. Data, která stárne ze svého interaktivního stavu uchovávání, se stále dají uchovávat po dobu až dvanácti let, s mnohem nižšími náklady a s omezeními jejich využití. Další informace najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.

Náklady můžete ještě více snížit registrací tabulek, které obsahují sekundární data zabezpečení v plánu Pomocných protokolů (nyní ve verzi Preview). Tento plán umožňuje ukládat protokoly s vysokou objemovou nízkou hodnotou za nízkou cenu s nižšími náklady na 30denní interaktivní dobu uchovávání na začátku, aby bylo možné provádět souhrny a základní dotazování. Další informace o plánu pomocných protokolů a dalších plánech najdete v tématu Plány uchovávání protokolů v Microsoft Sentinelu. I když pomocný plán protokolů zůstává ve verzi Preview, máte také možnost zaregistrovat tyto tabulky v plánu Základní protokoly . Základní protokoly nabízejí podobné funkce jako pomocné protokoly, ale s menší úsporou nákladů.

Použití pravidel shromažďování dat pro události Zabezpečení Windows

Konektor Zabezpečení Windows Events umožňuje streamovat události zabezpečení z libovolného počítače s Windows Serverem, který je připojený k pracovnímu prostoru Microsoft Sentinelu, včetně fyzických, virtuálních nebo místních serverů nebo v jakémkoli cloudu. Tento konektor zahrnuje podporu agenta azure Monitoru, který pomocí pravidel shromažďování dat definuje data, která se mají shromažďovat z každého agenta.

Pravidla shromažďování dat umožňují spravovat nastavení kolekcí ve velkém měřítku a zároveň umožňují jedinečné konfigurace s vymezeným oborem pro podmnožiny počítačů. Další informace najdete v tématu Konfigurace shromažďování dat pro agenta služby Azure Monitor.

Kromě předdefinovaných sad událostí, které můžete vybrat k ingestování, jako jsou všechny události, minimální nebo běžné, pravidla shromažďování dat umožňují vytvářet vlastní filtry a vybírat konkrétní události pro příjem. Agent Azure Monitoru tato pravidla používá k filtrování dat ve zdroji a následnému příjmu pouze vybraných událostí a přitom ponechá všechno ostatní. Výběr konkrétních událostí pro příjem vám může pomoct optimalizovat náklady a ušetřit více.

Další kroky

• Zjistěte , jak optimalizovat investice do cloudu pomocí služby Microsoft Cost Management.
• Přečtěte si další informace o správě nákladů pomocí analýzy nákladů.
• Přečtěte si, jak zabránit neočekávaným nákladům.
• Projděte si výukový kurz s asistencí pro Cost Management.
• Další tipy ke snížení objemu dat Log Analytics najdete v tématu Osvědčené postupy služby Azure Monitor – Správa nákladů.