Compartir a través de


Estimación de costos con la calculadora de costos de Microsoft Defender for Cloud

La calculadora de costos de Microsoft Defender for Cloud es una herramienta útil para calcular los costos potenciales asociados a sus necesidades de seguridad en la nube. Permite configurar diferentes planes y entornos, lo que proporciona un desglose detallado del costo, incluidos los descuentos aplicables.

Acceso a la calculadora de costos

Para empezar a usar la calculadora de costos de Defender for Cloud, vaya a la sección configuración del entorno de Microsoft Defender for Cloud. Seleccione el botón calculadora de costos situado en la sección superior de la interfaz.

Captura de pantalla del botón calculadora de costos en Configuración del entorno.

Configuración de los planes y entornos de Defender for Cloud

En la primera página de la calculadora, seleccione el botón Agregar recursos para empezar a agregar recursos al cálculo de costos. Tiene tres métodos para agregar recursos:

Captura de pantalla de cómo agregar recursos en la calculadora de costos.

Nota:

No se tienen en cuenta los planes de reserva (P3) para Defender for Cloud.

Adición de recursos con un script

  1. Elija el tipo de entorno (Azure, AWS o GCP) y copie el script en un nuevo archivo *.ps1.

    Nota:

    El script solo recopila información a la que tiene acceso el usuario que ejecuta.

  2. Ejecute el script en el entorno de PowerShell 7.X mediante una cuenta de usuario con privilegios. El script recopila información sobre los recursos facturables y crea un archivo CSV. Recopila información en dos pasos. En primer lugar, recopila el número actual de activos facturables que normalmente permanecen constantes. En segundo lugar, recopila información sobre los activos facturables que pueden cambiar mucho durante el mes. Para estos recursos, comprueba el uso de los últimos 30 días para evaluar el costo. Puede detener el script después del primer paso, que tarda unos segundos. O bien, puede seguir recopilando los últimos 30 días de uso de recursos dinámicos, lo que puede tardar más tiempo en cuentas grandes.

  3. Cargue este archivo CSV en el asistente donde descargó el script.

  4. Seleccione los planes de Defender for Cloud deseados. La calculadora calcula los costos en función de la selección y de los descuentos existentes.

Nota:

  • No se tienen en cuenta los planes de reserva (P3) para Defender for Cloud.
  • Para Defender para API: al calcular el costo en función del número de llamadas API en los últimos 30 días, seleccionamos automáticamente el mejor plan de Defender para LAS API. Si no hay llamadas API en los últimos 30 días, deshabilitamos automáticamente el plan con fines de cálculo.

Captura de pantalla de cómo agregar recursos con un script.

Permisos necesarios para scripts

En esta sección se proporciona información general sobre los permisos necesarios para ejecutar los scripts para cada proveedor de nube.

Azure

Para ejecutar este script correctamente para cada suscripción, la cuenta que usa necesita permisos que le permitan:

  • Detectar y enumerar recursos (incluidas máquinas virtuales, cuentas de almacenamiento, servicios de APIM, cuentas de Cosmos DB, etc.).

  • Gráfico de recursos de consulta (a través de Search-AzGraph).

  • Leer métricas (mediante Get-AzMetric y las API de Azure Monitor/Insights).

Rol integrado recomendado:

En la mayoría de los casos, el rol lector en el ámbito de la suscripción es suficiente. El rol Lector proporciona las siguientes funcionalidades clave necesarias para este script:

  • Leer todos los tipos de recursos (por lo que puede enumerar y analizar elementos como cuentas de almacenamiento, máquinas virtuales, Cosmos DB y APIM, etc.).
  • métricas de lectura (Microsoft.Insights/metrics/read) para que las llamadas a Get-AzMetric o las consultas REST directas de Azure Monitor se realicen correctamente.
  • consultas de Resource Graph funciona siempre que tenga al menos acceso de lectura a esos recursos de la suscripción.

Nota:

Si desea estar seguro de que tiene los permisos de métrica necesarios, también puede usar rol lector de supervisión ; sin embargo, el rol estándar Lector ya incluye acceso de lectura a las métricas y suele ser todo lo que necesita.

Si ya tiene roles de colaborador o propietario:

  • colaborador o propietario de la suscripción es más que suficiente (estos roles tienen privilegios más elevados que Lector).
  • El script no realiza la creación ni eliminación de recursos. Por lo tanto, la concesión de roles de alto nivel (como Colaborador o Propietario) para el único propósito de la recopilación de datos podría ser excesiva desde una perspectiva con privilegios mínimos.

Resumen:

Conceder a su usuario o entidad de servicio el rol de Lector (o cualquier rol con privilegios superiores) en cada suscripción que desee consultar garantiza que el script pueda:

  • Recuperar la lista de suscripciones
  • Enumerar y leer toda la información de recursos pertinente (a través de REST o Az PowerShell).
  • Capture las métricas necesarias (solicitudes para APIM, consumo de RU para Cosmos DB, entrada de cuentas de almacenamiento, etc.).
  • Ejecute consultas de Resource Graph sin problema.
AWS

A continuación se muestra información general sobre los permisos que aws Identity (usuario o rol) necesita para ejecutar este script correctamente. El script enumera los recursos (EC2, RDS, EKS, S3, etc.) y captura los metadatos de esos recursos. No crea, modifica ni elimina recursos, por lo que acceso de solo lectura es suficiente en la mayoría de los casos.

Directiva administrada de AWS: ReadOnlyAccess o ViewOnlyAccess

El enfoque más sencillo es adjuntar una de las directivas integradas de solo lectura de AWS a la entidad de seguridad de IAM (usuario/rol) que ejecuta este script. Algunos ejemplos son:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Cualquiera de estas opciones abarca el describir y lista permisos para la mayoría de los servicios de AWS. Si la directiva de seguridad de su entorno lo permite, ReadOnlyAccess es la manera más fácil de asegurarse de que el script funciona en todos los recursos de AWS que enumera.

servicios clave y permisos necesarios:

Si necesita un enfoque más granular con una directiva de IAM personalizada, estos son los servicios y permisos que debe permitir:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (para recuperar información de vCPU/core)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Escalado automático (para grupos de nodos EKS en instancias subyacentes)
    • autoscaling:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (para recuperar el identificador de cuenta de AWS)

Además, si necesita enumerar otros recursos que no se muestran en el script o si planea expandir las funcionalidades del script, asegúrese de conceder las acciones Descript*, List*y Get* adecuadas según sea necesario.

Resumen:

  • La manera más sencilla es adjuntar la directiva integrada de ReadOnlyAccess de AWS, que ya incluye todas las acciones necesarias para enumerar y describir EC2, RDS, EKS, S3, Auto Scaling y llamar a STS para obtener la información de su cuenta.
  • Si desea suficientes privilegios, cree una directiva de solo lectura personalizada con las acciones Describen*, List*y Get* anteriores para las acciones EC2, RDS, EKS, Auto Scaling, S3 y STS.

Cualquiera de los enfoques proporciona a su script permisos suficientes para:

  • Enumerar las regiones.
  • Recuperar los metadatos de la instancia ec2.
  • Recuperar instancias de RDS.
  • Enumere y describa los clústeres y grupos de nodos de EKS (y los grupos de escalado automático subyacentes).
  • Enumerar depósitos de S3.
  • Obtenga su identificador de cuenta de AWS a través de STS.

Esto garantiza que el script pueda detectar recursos y capturar los metadatos pertinentes sin crear, modificar ni eliminar nada.

GCP

A continuación se muestra información general sobre los permisos que necesita su cuenta de servicio o usuario de GCP para ejecutar este script correctamente. En resumen, el script debe enumerar y describir los recursos (instancias de máquina virtual, CLOUD SQL, clústeres de GKE y cubos de GCS) en el proyecto elegido.

El enfoque más sencillo para garantizar el acceso de solo lectura en todos estos recursos es conceder a su cuenta de usuario o servicio el rol de roles o visor en el nivel de proyecto (el mismo proyecto que seleccione a través del proyecto de conjunto de configuración de gcloud).

El rol roles/visor incluye acceso de solo lectura a la mayoría de los servicios de GCP dentro de ese proyecto, incluidos los permisos necesarios para:

  • Motor de proceso (enumerar instancias de máquina virtual, plantillas de instancia, tipos de máquina, etc.).
  • Cloud SQL (enumerar instancias de SQL).
  • Motor de Kubernetes (enumerar clústeres, grupos de nodos, etc.).
  • Almacenamiento en la nube (Depósitos de lista).

Permisos granulares por servicio (si crea un rol personalizado):

Si prefiere un enfoque más pormenorizado, puede crear un rol de IAM personalizado o un conjunto de roles que concedan colectivamente solo las acciones de lectura y descripción necesarias para cada servicio:

  • Motor de proceso (para instancias de máquina virtual, regiones, plantillas de instancia, administradores de grupos de instancias):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • Clústeres de contenedores GCP
    • container.clusters.get (necesario al describir clústeres)
    • container.nodePools.list
    • container.nodePools.get
  • Cloud Storage:
    • storage.buckets.get

El script no crea ni modifica ningún recurso, por lo que no requiere permisos—de actualización ni eliminación solo de lista, obtención o descripción de permisos de tipo.

Resumen:

  • El uso de roles o visor en el nivel de proyecto es la manera más rápida y sencilla de conceder permisos suficientes para que este script se realice correctamente.
  • Si necesita el enfoque de privilegios mínimos más estricto, cree o combine roles personalizados que solo incluyan las acciones de lista, descripción y obtención pertinentes para compute Engine, Cloud SQL, GKE y Cloud Storage.

Con estos permisos implementados, el script puede:

  • Autenticar (gcloud auth login).
  • Enlistar instancias de máquina virtual, tipos de máquina, administradores de grupos de instancias, etc.
  • Enlistar instancias de Cloud SQL.
  • Enlistar/describir clústeres y grupos de nodos de GKE.
  • Enlistar depósitos GCS.

Este acceso de nivel de lectura permite enumerar los recuentos de recursos y recopilar metadatos sin modificar ni crear ningún recurso.

Asignación de recursos incorporados

  1. Seleccione en la lista de entornos de Azure ya incorporados a Defender for Cloud para incluirlos en el cálculo de costos.

    Nota:

    Solo se incluyen los recursos para los que hemos recibido permiso durante la incorporación.

  2. Elija la región. La calculadora calcula el costo en función de las selecciones y los descuentos existentes.

Captura de pantalla de cómo asignar recursos incorporados.

Asignación de recursos personalizados

  1. Elija un nombre para el entorno personalizado.
  2. Especifique los planes y el número de recursos facturables para cada plan.
  3. Seleccione los tipos de recursos que desea incluir en el cálculo de costos.
  4. La calculadora calcula los costos en función de las entradas y los descuentos existentes.

Nota:

No se tienen en cuenta los planes de reserva (P3) para Defender for Cloud.

Captura de pantalla de cómo agregar un entorno personalizado.

Ajustar el informe

Después de generar el informe, puede ajustar los planes y el número de recursos facturables:

  1. Elija el entorno que desea modificar seleccionando el icono de edición (lápiz).
  2. Aparece una página de configuración, lo que le permite ajustar los planes, el número de recursos facturables y el promedio de horas mensuales.
  3. Seleccione el botón Recalcular para actualizar la estimación de costos.

Exportación del informe

Una vez que esté satisfecho con el informe, puede exportarlo como un archivo CSV:

  1. Seleccione el botón Exportar a CSV situado en la parte inferior del panel Resumen a la derecha.
  2. La información de costo se descarga como un archivo CSV.

Preguntas más frecuentes

¿Cuál es la calculadora de costos?

La calculadora de costos es una herramienta diseñada para simplificar el proceso de estimación de los costos de las necesidades de protección de seguridad. Al definir el ámbito de los planes y entornos deseados, la calculadora proporciona un desglose detallado de los posibles gastos, incluidos los descuentos aplicables.

¿Cómo funciona la calculadora de costos?

La calculadora le permite seleccionar los entornos y planes que desea habilitar. A continuación, realiza un proceso de detección para rellenar automáticamente el número de unidades facturables para cada plan por entorno. También puede ajustar manualmente las cantidades de unidades y los niveles de descuento.

¿En qué consiste el proceso de detección legal?

El proceso de detección genera un informe del entorno seleccionado, incluido el inventario de recursos facturables por los distintos planes de Defender for Cloud. Este proceso se basa en los permisos de usuario y el estado del entorno en el momento de la detección. En entornos de gran tamaño, este proceso puede tardar aproximadamente entre 30 y 60 minutos, ya que también se muestrearán los recursos dinámicos.

¿Es necesario conceder algún permiso especial para que la calculadora de costos realice el proceso de detección?

La Calculadora de costos usa los permisos existentes del usuario para ejecutar el script y realizar la detección automáticamente, lo que garantiza que recopila los datos necesarios sin necesidad de derechos de acceso adicionales. Para ver qué permisos necesita el usuario para ejecutar el script, consulte la sección Permisos necesarios para scripts.

¿Las estimaciones predicen con precisión mi costo?

La calculadora proporciona una estimación basada en la información disponible cuando se ejecuta el script. Varios factores pueden influir en el costo final, por lo que debe considerarse un cálculo aproximado.

¿Cuáles son las unidades facturables?

El costo de los planes se basa en las unidades que protegen. Cada plan cobra por un tipo de unidad diferente, que se puede encontrar en la página de configuración de Microsoft Defender for Cloud.

¿Puedo ajustar las estimaciones manualmente?

Sí, la calculadora de costos permite la recopilación automática de datos y los ajustes manuales. Puede modificar la cantidad de unidades y los niveles de descuento para reflejar mejor sus necesidades específicas y ver cómo afectan estos cambios al costo total.

¿La calculadora admite varios proveedores de nube?

Sí, ofrece compatibilidad con varias nubes, lo que garantiza que puede obtener estimaciones de costos precisas independientemente de su proveedor de nube.

¿Cómo puedo compartir mi estimación de costos?

Una vez que haya generado la estimación de costos, puede exportarlo y compartirlo fácilmente para la planificación y las aprobaciones presupuestarias. Esta característica garantiza que todas las partes interesadas tengan acceso a la información necesaria.

¿Dónde puedo obtener ayuda si tengo preguntas?

Nuestro equipo de soporte técnico está listo para ayudarle con cualquier pregunta o preocupación que pueda tener. No dude en ponerse en contacto con nosotros para obtener ayuda.

¿Cómo puedo probar la calculadora de costos?

Le invitamos a probar la nueva calculadora de costos y experimentar sus ventajas de primera mano. Acceda a la herramienta y empiece a definir el ámbito de la protección debe comenzar. Para usar la Calculadora de costos de Defender for Cloud, vaya a Configuración de Microsoft Defender for Cloud y seleccione el botón Calculadora de costos de la sección superior.