Reducción de los costos de Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo reducir los costos de Microsoft Sentinel, se le van a facturar todos los servicios y recursos de Azure que se usen en la suscripción de Azure, incluidos los servicios de asociados.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Establecer o cambiar el plan de tarifa

Para lograr el mayor ahorro, supervise el volumen de ingesta y asegúrese de que tiene el nivel de compromiso que mejor se adapta a sus patrones de volumen de ingesta. Considere la posibilidad de aumentar o disminuir el nivel de compromiso para adaptarse a los cambios de los volúmenes de datos.

Puede aumentar el nivel de compromiso en cualquier momento, que reinicia el período de compromiso de 31 días. Sin embargo, para volver al plan de pago por uso o a un nivel de compromiso inferior, debe esperar a que finalice el período de compromiso de 31 días. La facturación de los niveles de compromiso se realiza a diario.

Para ver el plan de tarifa actual de Microsoft Sentinel, seleccione Configuración en el panel de navegación izquierdo de Microsoft Sentinel y luego seleccione la pestaña Precios. El plan de tarifa actual está marcado como Nivel actual.

Para cambiar el compromiso de su plan de tarifa, seleccione uno de los otros niveles en la página de precios y, a continuación, seleccione Aplicar. Debe tener el rol Colaborador o Propietario en el área de trabado de Microsoft Sentinel para cambiar el plan de tarifa.

Para más información sobre cómo supervisar los costos, consulte Administración y supervisión de los costos de Microsoft Sentinel

En el caso de las áreas de trabajo que siguen usando planes de tarifa clásicos, los planes de tarifa de Microsoft Sentinel no incluyen cargos de Log Analytics. Para más información, consulte Planes de tarifa simplificados.

Coloque los datos que no están relacionados con la seguridad en un área de trabajo diferente

Microsoft Sentinel analiza todos los datos ingeridos en áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel. Es mejor tener un área de trabajo independiente para los datos de operaciones no relacionadas con la seguridad para garantizar que no incurran en costos de Microsoft Sentinel.

Al buscar o investigar amenazas en Microsoft Sentinel, es posible que tenga que acceder a los datos operativos almacenados en estas áreas de trabajo independientes de Azure Log Analytics. Puede acceder a estos datos mediante consultas entre áreas de trabajo en la experiencia de exploración de registros y los libros. Pero no puede usar reglas de análisis ni consultas de búsqueda entre áreas de trabajo a menos que Microsoft Sentinel esté habilitado en todas las áreas de trabajo.

Activación de la ingesta de datos de registros básicos de los datos que tienen un valor de seguridad bajo de gran volumen (versión preliminar)

A diferencia de los registros de análisis, los registros básicos suelen ser detallados. Contienen una combinación de datos de alto volumen y bajo valor de seguridad, que no se suelen usar ni acceder a ellos a petición para consultas ad hoc, investigaciones y búsquedas. Habilite la ingesta de datos de registro básica a un costo considerablemente menor para las tablas de datos aptas. Para más información, consulte Precios de Microsoft Sentinel.

Optimice los costos de Log Analytics con clústeres dedicados

Si ingiere al menos 500 GB en el área o las áreas de trabajo de Microsoft Sentinel de la misma región, considere la posibilidad de migrar a un clúster dedicado de Log Analytics para reducir los costos. Un nivel de compromiso de clúster dedicado de Log Analytics agrega el volumen de datos en áreas de trabajo que ingieren colectivamente un total de 500 GB o más. Para más información, consulte Planes de tarifa simplificados para un clúster dedicado.

Puede agregar varias áreas de trabajo de Microsoft Sentinel a un clúster dedicado de Log Analytics. Hay un par de ventajas en el uso de un clúster dedicado de Log Analytics para Microsoft Sentinel:

• Las consultas entre áreas de trabajo se ejecutan más rápido si todas las áreas de trabajo implicadas en la consulta están en el clúster dedicado. Sigue siendo mejor tener el menor número de áreas de trabajo posible en el entorno y un clúster dedicado que conserva el límite de 100 áreas de trabajo para incluirlas en una sola consulta entre áreas de trabajo.

• Todas las áreas de trabajo del clúster dedicado pueden compartir el nivel de compromiso de Log Analytics establecido en el clúster. No tener que confirmar niveles de compromiso de Log Analytics independientes para cada área de trabajo puede permitir ahorrar costos y eficiencias. Al habilitar un clúster dedicado, confirma un nivel de compromiso mínimo de Log Analytics de ingesta de 500 GB.

Estas son otras consideraciones para pasar a un clúster dedicado para la optimización de costos:

• El número máximo de clústeres por región y suscripción es dos.
• Todas las áreas de trabajo vinculadas a un clúster deben estar en la misma región.
• El número máximo de áreas de trabajo vinculadas a un clúster es 1000.
• Puede desvincular un área de trabajo vinculada de su clúster. El número de operaciones de vinculación en un área de trabajo determinada en un período de 30 días se limita a dos.
• No puede mover un área de trabajo existente a un clúster de claves administradas por el cliente (CMK). Debe crear el área de trabajo en el clúster.
• Actualmente no se admite el traslado de un clúster a otro grupo de recursos o a otra suscripción.
• Se produce un error en un vínculo de área de trabajo a un clúster si el área de trabajo está vinculada a otro clúster.

Para más información sobre los clústeres dedicados, consulte Clústeres dedicados de Log Analytics.

Reducción de los costos de retención de datos a largo plazo con Azure Data Explorer (ADX) o los registros archivados (versión preliminar)

La retención de datos de Microsoft Sentinel es gratuita durante los primeros 90 días. Para ajustar el período de retención de datos en Log Analytics, seleccione Utilización y costos estimados en el panel de navegación izquierdo, seleccione Retención de datos y, después, ajuste el control deslizante.

Los datos de seguridad de Microsoft Sentinel podrían perder parte de su valor después de unos meses. Es posible que los usuarios del centro de operaciones de seguridad (SOC) no necesiten acceder a los datos más antiguos con tanta frecuencia como los datos más recientes, pero puede que necesiten acceder a los datos con fines de auditoría o investigaciones esporádicas.

Para ayudarle a reducir los costos de retención de datos de Microsoft Sentinel, Azure Monitor ahora ofrece registros archivados. Los registros archivados almacenan datos de registro durante largos períodos de tiempo, hasta siete años, a un costo reducido con limitaciones con respecto a su uso. Los registros archivados están en versión preliminar pública. Para más información, consulte Configuración de directivas de archivo y retención de datos en los registros de Azure Monitor.

Como alternativa, puede usar Azure Data Explorer para la retención de datos a largo plazo a un costo menor. Azure Data Explorer proporciona el equilibrio adecuado entre costo y facilidad de uso para datos antiguos que ya no necesitan inteligencia de seguridad de Microsoft Sentinel.

Con Azure Data Explorer puede almacenar datos a un precio más bajo, pero seguir explorando los datos con las mismas consultas del lenguaje de consulta Kusto (KQL) que en Microsoft Sentinel. También puede usar la característica de proxy de Azure Data Explorer para realizar consultas multiplataforma. Estas consultas agregan y correlacionan datos distribuidos entre Azure Data Explorer, Application Insights, Microsoft Sentinel y Log Analytics.

Para más información, consulte Integración de Azure Data Explorer para la retención de registros a largo plazo.

Uso de reglas de recopilación de datos para los eventos de seguridad de Windows

El conector de eventos de seguridad de Windows permite transmitir eventos de seguridad desde cualquier equipo con Windows Server que esté conectado al área de trabajo de Microsoft Sentinel, incluidos servidores físicos, virtuales o locales, o en cualquier nube. Este conector incluye compatibilidad con el agente de Azure Monitor, que usa reglas de recopilación de datos para definir los datos que se recopilan de cada agente.

Las reglas de recopilación de datos permiten administrar la configuración de la recopilación a gran escala y, al mismo tiempo, permiten configuraciones únicas con ámbito para subconjuntos de máquinas. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor (versión preliminar) para más información.

Además de los conjuntos predefinidos de eventos que puede seleccionar para la ingesta, como Todos los eventos, Mínimo o Común, las reglas de recopilación de datos permiten crear filtros personalizados y seleccionar eventos específicos para su ingesta. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos seleccionados, sin tener en cuenta el resto. La selección de eventos específicos para la ingesta puede ayudarle a optimizar los costos y ahorrar más.

Pasos siguientes

• Aprenda a optimizar su inversión en la nube con Microsoft Cost Management.
• Obtenga más información sobre la administración de costos con los análisis de costos.
• Obtenga información sobre cómo evitar los costos inesperados.
• Haga el curso de aprendizaje guiado sobre Cost Management.
• Para más sugerencias sobre cómo reducir el volumen de datos de Log Analytics, consulte Procedimientos recomendados de Azure Monitor: Administración de costos.