Snížení nákladů na Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Náklady na Microsoft Sentinel jsou jenom část měsíčních nákladů na faktuře za Azure. I když tento článek vysvětluje, jak snížit náklady na Microsoft Sentinel, účtuje se vám všechny služby a prostředky Azure, které vaše předplatné Azure používá, včetně partnerských služeb.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Nastavení nebo změna cenové úrovně

Pokud chcete optimalizovat nejvyšší úspory, monitorujte objem příjmu dat, abyste měli jistotu, že máte úroveň závazku, která nejvíce odpovídá vzorcům objemu příjmu dat. Zvažte zvýšení nebo snížení úrovně závazku, aby bylo v souladu s měnícími se objemy dat.

Úroveň závazku můžete kdykoli zvýšit, což restartuje 31denní období závazku. Pokud se ale chcete vrátit na průběžné platby nebo na nižší úroveň závazku, musíte počkat, až se dokončí 31denní období závazku. Fakturace úrovní závazku se provádí každý den.

Pokud chcete zobrazit aktuální cenovou úroveň Služby Microsoft Sentinel, vyberte v levém navigačním panelu služby Microsoft Sentinel Nastavení a pak vyberte kartu Ceny. Vaše aktuální cenová úroveň je označená jako Aktuální úroveň.

Pokud chcete změnit závazek cenové úrovně, vyberte na stránce s cenami jednu z dalších úrovní a pak vyberte Použít. Abyste mohli změnit cenovou úroveň, musíte mít pro pracovní prostor Microsoft Sentinel přispěvatele nebo vlastníka .

Další informace o monitorování nákladů najdete v tématu Správa a monitorování nákladů pro Microsoft Sentinel.

U pracovních prostorů, které stále používají klasické cenové úrovně, nezahrnují cenové úrovně Služby Microsoft Sentinel poplatky za Log Analytics. Další informace najdete v tématu Zjednodušené cenové úrovně.

Oddělení dat nesouvisených se zabezpečením v jiném pracovním prostoru

Microsoft Sentinel analyzuje všechna ingestovaná data do pracovních prostorů Log Analytics s podporou Služby Microsoft Sentinel. Nejlepší je mít samostatný pracovní prostor pro data operací nesouvisecí se zabezpečením, abyste měli jistotu, že neúčtují náklady na Microsoft Sentinel.

Při proaktivním vyhledávání nebo prošetřování hrozeb v Microsoft Sentinelu možná budete potřebovat přístup k provozním datům uloženým v těchto samostatných pracovních prostorech Služby Azure Log Analytics. K datům můžete přistupovat pomocí dotazování mezi pracovními prostory v prostředí pro zkoumání protokolů a sešitech. Nemůžete ale použít analytická pravidla a dotazy proaktivního vyhledávání mezi pracovními prostory, pokud není ve všech pracovních prostorech povolená služba Microsoft Sentinel.

Zapnutí příjmu dat základních protokolů pro data s vysokou hodnotou zabezpečení (Preview)

Na rozdíl od analytických protokolů jsou základní protokoly obvykle podrobné. Obsahují kombinaci dat s velkým objemem a nízkou hodnotou zabezpečení, která se často nepoužívají nebo k nim přistupuje na vyžádání pro ad hoc dotazování, šetření a vyhledávání. U způsobilých tabulek dat povolte základní příjem dat protokolů s výrazně nižšími náklady. Další informace najdete v tématu o cenách služby Microsoft Sentinel.

Optimalizace nákladů na Log Analytics s využitím vyhrazených clusterů

Pokud do pracovního prostoru microsoft Sentinelu nebo pracovních prostorů ve stejné oblasti ingestujete alespoň 500 GB, zvažte přesun do vyhrazeného clusteru Služby Log Analytics, abyste snížili náklady. Úroveň závazku vyhrazeného clusteru Log Analytics agreguje objem dat napříč pracovními prostory, které souhrnně ingestují celkem 500 GB nebo více. Další informace najdete v tématu Zjednodušená cenová úroveň vyhrazeného clusteru.

Do vyhrazeného clusteru Log Analytics můžete přidat více pracovních prostorů Microsoft Sentinelu. Použití vyhrazeného clusteru Log Analytics pro Microsoft Sentinel má několik výhod:

• Dotazy napříč pracovními prostory běží rychleji, pokud jsou všechny pracovní prostory, které jsou součástí dotazu, ve vyhrazeném clusteru. Ve vašem prostředí je stále nejlepší mít co nejméně pracovních prostorů a vyhrazený cluster stále zachovává limit 100 pracovních prostorů pro zahrnutí do jednoho dotazu mezi pracovními prostory.

• Všechny pracovní prostory ve vyhrazeném clusteru můžou sdílet úroveň závazku Log Analytics nastavenou v clusteru. Nemusíte se zavázat k samostatným úrovním závazku Log Analytics pro každý pracovní prostor, což může usnadnit úspory nákladů a efektivitu. Povolením vyhrazeného clusteru se zapíšete na minimální úroveň závazku Log Analytics o 500 GB příjmu dat za den.

Tady jsou některé další aspekty přechodu na vyhrazený cluster pro optimalizaci nákladů:

• Maximální počet clusterů na oblast a předplatné je dva.
• Všechny pracovní prostory propojené s clusterem musí být ve stejné oblasti.
• Maximální počet pracovních prostorů propojených s clusterem je 1 000.
• Propojený pracovní prostor můžete odpojit od clusteru. Počet operací propojení v konkrétním pracovním prostoru je omezený na dva v období 30 dnů.
• Existující pracovní prostor nemůžete přesunout do clusteru klíče spravovaného zákazníkem (CMK). V clusteru musíte vytvořit pracovní prostor.
• Přesun clusteru do jiné skupiny prostředků nebo předplatného se v současné době nepodporuje.
• Propojení pracovního prostoru s clusterem selže, pokud je pracovní prostor propojený s jiným clusterem.

Další informace o vyhrazenýchclusterch

Snížení nákladů na dlouhodobé uchovávání dat pomocí Azure Data Exploreru nebo archivovaných protokolů (Preview)

Uchovávání dat v Microsoft Sentinelu je zdarma prvních 90 dnů. Pokud chcete upravit dobu uchovávání dat v Log Analytics, vyberte v levém navigačním panelu využití a odhadované náklady , pak vyberte Možnost Uchovávání dat a pak upravte posuvník.

Data zabezpečení služby Microsoft Sentinel můžou po několika měsících ztratit určitou hodnotu. Uživatelé služby Security Operations Center (SOC) nemusí potřebovat přístup ke starším datům tak často jako novější data, ale přesto můžou potřebovat přístup k datům pro občasné šetření nebo účely auditu.

Azure Monitor teď nabízí archivované protokoly, které vám pomůžou snížit náklady na uchovávání dat v Microsoft Sentinelu. Archivované protokoly ukládají data protokolů po dlouhou dobu až sedm let s nižšími náklady s omezeními jejich využití. Archivované protokoly jsou ve verzi Public Preview. Další informace najdete v tématu Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor.

Alternativně můžete Azure Data Explorer použít k dlouhodobému uchovávání dat s nižšími náklady. Azure Data Explorer poskytuje správnou rovnováhu nákladů a použitelnosti pro zastaralá data, která už nepotřebuje analýzu zabezpečení služby Microsoft Sentinel.

Pomocí Azure Data Exploreru můžete ukládat data za nižší cenu, ale stále je zkoumat pomocí stejných dotazů dotazovací jazyk Kusto (KQL) jako v Microsoft Sentinelu. K dotazování napříč platformami můžete použít také funkci proxy Azure Data Exploreru. Tyto dotazy agregují a korelují data rozložená mezi Azure Data Explorerem, aplikačními Přehledy, Microsoft Sentinelem a Log Analytics.

Další informace najdete v tématu Integrace Azure Data Exploreru pro dlouhodobé uchovávání protokolů.

Použití pravidel shromažďování dat pro události Zabezpečení Windows

Konektor Zabezpečení Windows Events umožňuje streamovat události zabezpečení z libovolného počítače s Windows Serverem, který je připojený k pracovnímu prostoru Microsoft Sentinelu, včetně fyzických, virtuálních nebo místních serverů nebo v jakémkoli cloudu. Tento konektor zahrnuje podporu agenta služby Azure Monitor, který pomocí pravidel shromažďování dat definuje data, která se mají shromažďovat z každého agenta.

Pravidla shromažďování dat umožňují spravovat nastavení kolekcí ve velkém měřítku a zároveň umožňují jedinečné konfigurace s vymezeným oborem pro podmnožiny počítačů. Další informace najdete v tématu Konfigurace shromažďování dat pro agenta Azure Monitoru.

Kromě předdefinovaných sad událostí, které můžete vybrat k ingestování, jako jsou všechny události, minimální nebo běžné, pravidla shromažďování dat umožňují vytvářet vlastní filtry a vybírat konkrétní události pro příjem. Agent Azure Monitoru tato pravidla používá k filtrování dat ve zdroji a následnému příjmu pouze vybraných událostí a přitom ponechá všechno ostatní. Výběr konkrétních událostí pro příjem vám může pomoct optimalizovat náklady a ušetřit více.

Další kroky

• Zjistěte , jak optimalizovat investice do cloudu pomocí služby Microsoft Cost Management.
• Přečtěte si další informace o správě nákladů pomocí analýzy nákladů.
• Přečtěte si, jak zabránit neočekávaným nákladům.
• Projděte si výukový kurz s asistencí pro Cost Management.
• Další tipy ke snížení objemu dat Log Analytics najdete v tématu Osvědčené postupy služby Azure Monitor – Správa nákladů.