Freigeben über

Schätzen der Kosten mit dem Kostenrechner von Microsoft Defender for Cloud

Der Kostenrechner von Microsoft Defender for Cloud ist ein Tool, das Ihnen hilft, die potenziellen, mit Ihren Cloudsicherheitsanforderungen zusammenhängenden Kosten abzuschätzen. Sie können damit verschiedene Pläne und Umgebungen konfigurieren und eine detaillierte Kostenaufschlüsselung einschließlich der anwendbaren Rabatte bereitstellen.

Zugriff auf den Kostenrechner

Navigieren Sie unter Microsoft Defender for Cloud zum Abschnitt Umgebungseinstellungen, um mit der Verwendung des Kostenrechners von Defender for Cloud zu beginnen. Wählen Sie die im oberen Abschnitt der Benutzeroberfläche die Schaltfläche Kostenrechner aus.

Screenshot der Schaltfläche „Kostenrechner“ in den Umgebungseinstellungen

Konfigurieren von Defender for Cloud-Plänen und -Umgebungen

Wählen Sie auf der ersten Seite des Rechners die Schaltfläche Ressourcen hinzufügen aus, um mit dem Hinzufügen von Ressourcen zu Ihrer Kostenberechnung zu beginnen. Sie haben drei Methoden zum Hinzufügen von Ressourcen:

Screenshot zum Hinzufügen von Ressourcen im Kostenrechner

Hinweis

Reservierungspläne (P3) für Defender for Cloud werden nicht berücksichtigt.

Hinzufügen von Ressourcen per Skript

  1. Wählen Sie den Umgebungstyp (Azure, AWS oder GCP) aus, und kopieren Sie das Skript in eine neue *.ps1-Datei.

    Hinweis

    Das Skript sammelt nur Informationen, auf die der Benutzende, der ausführt, Zugriff hat.

  2. Führen Sie das Skript in Ihrer PowerShell 7.X-Umgebung mit einem privilegierten Benutzerkonto aus. Das Skript sammelt Informationen zu Ihren abrechenbaren Ressourcen und erstellt eine CSV-Datei. Es sammelt Informationen in zwei Schritten. Zunächst erfasst es die aktuelle Anzahl von abrechenbaren Ressourcen, die in der Regel konstant bleiben. Zweitens sammelt es Informationen zu abrechenbaren Ressourcen, die sich während des Monats häufig ändern können. Für diese Ressourcen überprüft es die Nutzung in den letzten 30 Tagen, um die Kosten zu evaluieren. Sie können das Skript nach dem ersten Schritt beenden, der wenige Sekunden dauert. Sie können auch fortfahren, um die letzten 30 Tage der Nutzung für dynamische Ressourcen zu sammeln, was für große Konten länger dauern kann.

  3. Laden Sie diese CSV-Datei in den Assistenten hoch, in den Sie das Skript heruntergeladen haben.

  4. Wählen Sie die gewünschten Defender for Cloud-Pläne aus. Der Rechner schätzt die Kosten basierend auf Ihrer Auswahl und geltenden Rabatten.

Hinweis

  • Reservierungspläne für Defender for Cloud werden nicht berücksichtigt.
  • Für Defender for APIs: Bei der Berechnung der Kosten basierend auf der Anzahl der API-Aufrufe in den letzten 30 Tagen wählen wir automatisch den besten Defender for APIs-Plan für Sie aus. Wenn in den letzten 30 Tagen keine API-Aufrufe vorhanden sind, deaktivieren wir den Plan automatisch für Berechnungszwecke.

Screenshot zum Hinzufügen von Ressourcen per Skript

Erforderliche Berechtigungen für Skripts

Dieser Abschnitt enthält eine Übersicht über die Berechtigungen, die zum Ausführen der Skripts für jeden Cloudanbieter erforderlich sind.

Azure

Um dieses Skript für jedes Abonnement erfolgreich auszuführen, benötigt das Konto, das Sie verwenden, entsprechende Berechtigungen:

  • Ressourcen suchen und auflisten (einschließlich virtueller Computer, Speicherkonten, APIM-Dienste, Cosmos DB-Konten usw.)

  • Resource Graph abfragen (über Search-AzGraph)

  • Metriken lesen (über Get-AzMetric und die Azure Monitor-/Insights-APIs).

Empfohlene integrierte Rolle:

In den meisten Fällen reicht die Rolle Leser auf Abonnementebene aus. Die Rolle „Leser“ ermöglicht die folgenden wichtigen Aktionen, die von diesem Skript benötigt werden:

  • Alle Ressourcentypen lesen, sodass Sie Elemente wie Speicherkonten, VMs, Cosmos DB und APIM usw. auflisten und analysieren können.
  • Metriken lesen (Microsoft.Insights/metrics/read), sodass Aufrufe von Get-AzMetric oder direkte Azure Monitor-REST-Abfragen erfolgreich ausgeführt werden können.
  • Resource Graph-Abfragen funktionieren, solange Sie mindestens Lesezugriff auf diese Ressourcen im Abonnement haben.

Hinweis

Wenn Sie sicher sein möchten, dass Sie über die erforderlichen Metrikberechtigungen verfügen, können Sie auch Rolle Überwachungsleser verwenden. Die Standardrolle Leser enthält jedoch bereits Lesezugriff auf Metriken und ist in der Regel alles, was Sie benötigen.

Wenn Sie bereits die Rollen „Mitwirkender“ oder „Besitzer“ haben:

  • Mitwirkender oder Besitzer für das Abonnement ist mehr als ausreichend (diese Rollen sind höher als Leser).
  • Das Skript führt keine Ressourcenerstellung oder -löschung durch. Daher kann die Gewährung von allgemeinen Rollen (z. B. Mitwirkender/Besitzer) für den alleinigen Zweck der Datensammlung aus der Perspektive der geringsten Rechte zu viel sein.

Zusammenfassung:

Dem Benutzer oder Dienstprinzipal die Rolle Leser (oder einer höheren privilegierten Rolle) für jedes Abonnement zu gewähren, das Sie abfragen möchten, stellt sicher, dass das Skript Folgendes kann:

  • die Liste der Abonnements abrufen
  • alle relevanten Ressourceninformationen (über REST oder Az PowerShell) enumerieren und lesen
  • die erforderlichen Metriken abrufen (Anforderungen für APIM, RU-Verbrauch für Cosmos DB, eingehender Datenverkehr in Speicherkonten usw.)
  • Resource Graph-Abfragen ohne Probleme abfragen
AWS

Im Folgenden finden Sie eine Übersicht über die Berechtigungen, die Ihre AWS-Identität (Benutzer oder Rolle) benötigt, um dieses Skript erfolgreich auszuführen. Das Skript enumeriert Ressourcen (EC2, RDS, EKS, S3 usw.) und ruft Metadaten für diese Ressourcen ab. Es ist nicht zum Erstellen, Ändern oder Löschen von Ressourcen vorgesehen, sodass schreibgeschützter Zugriff in den meisten Fällen ausreichend ist.

Verwaltete AWS-Richtlinie: ReadOnlyAccess oder ViewOnlyAccess

Der einfachste Ansatz besteht darin, eine der integrierten schreibgeschützten AWS-Richtlinien an den IAM-Prinzipal (Benutzer/Rolle) anzufügen, der dieses Skript ausführt. Beispiele:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Beide beinhalten die describe- und list-Berechtigungen für die meisten AWS-Dienste. Wenn die Sicherheitsrichtlinie Ihrer Umgebung dies zulässt, ist ReadOnlyAccess die einfachste Möglichkeit, sicherzustellen, dass das Skript über alle AWS-Ressourcen hinweg funktioniert, die es enumeriert.

Wichtige Dienste und erforderliche Berechtigungen:

Wenn Sie einen präziseren Ansatz mit einer benutzerdefinierten IAM-Richtlinie benötigen, müssen Sie die folgenden Dienste und Berechtigungen zulassen:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (zum Abrufen von vCPU-/Kerninformationen)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Auto Scaling (für EKS-Knotengruppen zugrunde liegende Instanzen)
    • autoscaling:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (zum Abrufen der AWS-Konto-ID)

Wenn Sie weitere Ressourcen auflisten müssen, die nicht im Skript angezeigt werden, oder wenn Sie beabsichtigen, die Funktionen des Skripts zu erweitern, stellen Sie sicher, dass Sie bei Bedarf die entsprechenden Describe-*, List-* und Get-Aktionen* erteilen.

Zusammenfassung:

  • Die einfachste Möglichkeit besteht darin, die integrierte ReadOnlyAccess-Richtlinie von AWS anzufügen, die bereits alle erforderlichen Aktionen enthält, um EC2-, RDS-, EKS-, S3- und Auto Scaling-Ressourcen aufzulisten und zu beschreiben sowie STS aufzurufen, um Ihre Kontoinformationen abzurufen.
  • Wenn Sie nur genügend Berechtigungen benötigen, erstellen Sie eine benutzerdefinierte schreibgeschützte Richtlinie mit den oben genannten Describe-*, List-* und Get-Aktionen* für EC2, RDS, EKS, Auto Scaling, S3 und STS.

Jeder Ansatz gewährt Ihrem Skript ausreichende Berechtigungen für Folgendes:

  • Regionen auflisten
  • EC2-Instanzmetadaten abrufen
  • RDS-Instanzen abrufen
  • EKS-Cluster und Knotengruppen (und die zugrunde liegenden Auto Scaling-Gruppen) auflisten und beschreiben
  • S3-Buckets auflisten
  • Ihre AWS-Konto-ID über STS abrufen

Dadurch wird sichergestellt, dass das Skript Ressourcen ermitteln und die relevanten Metadaten abrufen kann, ohne etwas zu erstellen, zu ändern oder zu löschen.

GCP

Im Folgenden finden Sie eine Übersicht über die Berechtigungen, die Ihr GCP-Benutzer oder Dienstkonto benötigt, um dieses Skript erfolgreich auszuführen. Kurz gesagt muss das Skript Ressourcen (VM-Instanzen, Cloud SQL, GKE-Cluster und GCS-Buckets) in Ihrem ausgewählten Projekt auflisten und beschreiben.

Der einfachste Ansatz, um den schreibgeschützten Zugriff über alle diese Ressourcen hinweg sicherzustellen, besteht darin, Ihrem Benutzer- oder Dienstkonto die Rolle roles/viewer auf Projektebene zu gewähren (das Projekt, das Sie über das gcloud config set-Projekt auswählen).

Die Rolle roles/viewer umfasst schreibgeschützten Zugriff auf die meisten GCP-Dienste innerhalb dieses Projekts, einschließlich der erforderlichen Berechtigungen für:

  • Compute Engine (VM-Instanzen auflisten, Instanzvorlagen, Computertypen usw.)
  • Cloud SQL (SQL-Instanzen auflisten)
  • Kubernetes Engine (Cluster, Knotenpools usw. auflisten)
  • Cloud Storage (Buckets auflisten)

Granulare Berechtigungen nach Dienst (wenn eine benutzerdefinierte Rolle erstellt wird):

Wenn Sie einen präziseren Ansatz bevorzugen, können Sie eine benutzerdefinierte IAM-Rolle oder mehrere Rollen erstellen, die zusammen nur die erforderlichen Aktionen zum Lesen, Auflisten und Beschreiben für jeden Dienst gewähren:

  • Compute Engine (für VM-Instanzen, Regionen, Instanzvorlagen, Instanzgruppenmanager):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • container.clusters.list
    • container.clusters.get (erforderlich beim Beschreiben von Clustern)
    • container.nodePools.list
    • container.nodePools.get
  • Cloud Storage:
    • storage.buckets.list

Das Skript erstellt oder ändert keine Ressourcen, sodass keine Berechtigungen aktualisiert oder gelöscht werden müssen. Typberechtigungen werden nur aufgelistet, abgerufen oder beschrieben.

Zusammenfassung:

  • Die Verwendung von „roles/viewer“ auf Projektebene ist die schnellste und einfachste Möglichkeit, genügend Berechtigungen zu erteilen, damit das Skript erfolgreich ist.
  • Wenn Sie den strengsten Ansatz mit den geringsten Berechtigungen benötigen, erstellen oder kombinieren Sie benutzerdefinierte Rollen, die nur die relevanten Aktionen zum Auflisten, Beschreiben und Abrufen für Compute Engine, Cloud SQL, GKE und Cloud Storage enthalten.

Mit diesen Berechtigungen kann das Skript Folgendes:

  • Authentifizieren (gcloud-Authentifizierungsanmeldung)
  • Auflisten von VM-Instanzen, Computertypen, Instanzgruppenmanagern usw.
  • Auflisten von Cloud SQL-Instanzen
  • Auflisten/Beschreiben von GKE-Clustern und Knotenpools
  • Auflisten von GCS-Buckets

Dieser Zugriff auf Leseebene ermöglicht das Enumerieren von Ressourcenmengen und das Sammeln von Metadaten, ohne Ressourcen zu ändern oder zu erstellen.

Zuweisen von integrierten Ressourcen

  1. Wählen Sie aus der Liste der bereits in Defender for Cloud integrierten Azure-Umgebungen aus, um sie in die Kostenberechnung einzubeziehen.

    Hinweis

    Wir schließen nur die Ressourcen ein, für die wir während des Onboardings die Berechtigung erhalten haben.

  2. Wählen Sie die Pläne aus. Der Rechner schätzt die Kosten basierend auf Ihrer Auswahl und geltenden Rabatten.

Screenshot zum Zuweisen von integrierten Ressourcen

Zuweisen von benutzerdefinierten Ressourcen

  1. Wählen Sie einen Namen für die benutzerdefinierte Umgebung aus.
  2. Geben Sie die Pläne und die Anzahl der abrechenbaren Ressourcen für jeden Plan an.
  3. Wählen Sie die Art der Ressourcen aus, die Sie in die Kostenberechnung einbeziehen möchten.
  4. Der Rechner schätzt die Kosten basierend auf Ihren Eingaben und geltenden Rabatten.

Hinweis

Reservierungspläne für Defender for Cloud werden nicht berücksichtigt.

Screenshot zum Hinzufügen einer benutzerdefinierten Umgebung

Anpassen des Berichts

Nach dem Generieren des Berichts können Sie die Pläne und die Anzahl der abrechenbaren Ressourcen anpassen:

  1. Wählen Sie die Umgebung aus, die Sie ändern möchten, indem Sie das Symbol zum Bearbeiten (Bleistiftsymbol) auswählen.
  2. Es wird eine Konfigurationsseite angezeigt, auf der Sie Pläne, die Anzahl der abrechenbaren Ressourcen und die durchschnittlichen monatlichen Stunden anpassen können.
  3. Wählen Sie die Schaltfläche Neu berechnen aus, um die Kostenschätzung zu aktualisieren.

Exportieren des Berichts

Sobald Sie mit dem Bericht zufrieden sind, können Sie ihn als CSV-Datei exportieren:

  1. Wählen Sie die Schaltfläche Nach CSV exportieren aus, die sich unten im Bereich Zusammenfassung rechts befindet.
  2. Die Kosteninformationen werden als CSV-Datei heruntergeladen.

Häufig gestellte Fragen

Was ist der Kostenrechner?

Der Kostenrechner ist ein Tool, das die Kostenschätzung für Ihre Sicherheitsschutzanforderungen vereinfacht. Wenn Sie den Umfang Ihrer gewünschten Pläne und Umgebungen definieren, bietet der Rechner eine detaillierte Aufschlüsselung potenzieller Ausgaben, einschließlich aller anwendbaren Rabatte.

Wie funktioniert der Kostenrechner?

Mit dem Rechner können Sie die Umgebungen und Pläne auswählen, die Sie aktivieren möchten. Er führt dann einen Ermittlungsprozess aus, um die Anzahl der abrechenbaren Einheiten für jeden Plan pro Umgebung automatisch aufzufüllen. Sie können auch die Einheitenmengen und Rabattstufen manuell anpassen.

Was ist der Ermittlungsprozess?

Der Ermittlungsprozess generiert einen Bericht der ausgewählten Umgebung, einschließlich des Inventars von abrechenbaren Ressourcen nach den verschiedenen Defender for Cloud-Plänen. Dieser Prozess basiert auf den Benutzerberechtigungen und dem Umgebungszustand zum Zeitpunkt der Ermittlung. Bei großen Umgebungen kann dieser Vorgang etwa 30 bis 60 Minuten dauern, da auch dynamische Ressourcen stichprobenartig abgerufen werden.

Muss ich dem Kostenrechner besondere Berechtigungen zum Ausführen des Ermittlungsprozesses erteilen?

Der Kostenrechner verwendet die vorhandenen Berechtigungen des Benutzers, um das Skript auszuführen und die Ermittlung automatisch durchzuführen. So wird sichergestellt, dass die erforderlichen Daten gesammelt werden, ohne dass weitere Zugriffsrechte erforderlich sind. Informationen zu den Berechtigungen, die der Benutzer zum Ausführen des Skripts benötigt, finden Sie im Abschnitt Erforderliche Berechtigungen für Skripts.

Können die Schätzungen meine Kosten genau vorhersagen?

Der Rechner liefert eine Schätzung basierend auf den verfügbaren Informationen, wenn das Skript ausgeführt wird. Verschiedene Faktoren können die Endkosten beeinflussen, daher sollte sie als ungefähre Berechnung betrachtet werden.

Was sind die abrechenbaren Einheiten?

Die Kosten für Pläne basieren auf den Einheiten, die geschützt werden. Jeder Plan rechnet für einen anderen Einheitstyp ab, der auf der Seite Microsoft Defender for Cloud-Einstellungen zu finden ist.

Kann ich die Schätzungen manuell anpassen?

Ja, der Kostenrechner ermöglicht sowohl die automatische Datenerfassung als auch manuelle Anpassungen. Sie können die Einheitenmenge und Rabattstufen ändern, um Ihre spezifischen Anforderungen besser widerzuspiegeln und auszuprobieren, wie sich diese Änderungen auf Ihre Gesamtkosten auswirken.

Unterstützt der Rechner mehrere Cloudanbieter?

Ja, er bietet Multi-Cloud-Unterstützung, um sicherzustellen, dass Sie unabhängig von Ihrem Cloudanbieter genaue Kostenschätzungen abrufen können.

Wie kann ich meine Kostenschätzung teilen?

Sobald Sie Ihre Kostenschätzung generiert haben, können Sie diese ganz einfach exportieren und für die Budgetplanung und Genehmigungen freigeben. Dieses Feature stellt sicher, dass alle Beteiligten Zugriff auf die erforderlichen Informationen haben.

Wo erhalte ich Hilfe, wenn ich Fragen habe?

Unser Supportteam unterstützt Sie gern bei eventuellen Fragen oder Anliegen. Wenden Sie sich an uns, wenn Sie Hilfe benötigen.

Wie kann ich den Kostenrechner ausprobieren?

Probieren Sie den neuen Kostenrechner und seine Vorteile selbst aus. Rufen Sie das Tool auf, und definieren Sie Ihre Schutzanforderungen, um loszulegen. Um den Defender for Cloud-Kostenrechner zu verwenden, wechseln Sie zu den Microsoft Defender for Cloud-Einstellungen, und wählen Sie die Schaltfläche Kostenrechner im oberen Abschnitt aus.

Zugehöriger Inhalt