Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo reducir los costos de Microsoft Sentinel, se le facturan todos los servicios y recursos de Azure que usa la suscripción Azure, incluidos los servicios de asociados.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Establecer o cambiar el plan de tarifa
Para optimizar el máximo ahorro, supervise el volumen de ingesta para asegurarse de que tiene el nivel de compromiso que se alinea más estrechamente con los patrones de volumen de ingesta. Considere la posibilidad de aumentar o reducir el nivel de compromiso para alinearse con los volúmenes de datos cambiantes.
Puede aumentar el nivel de compromiso en cualquier momento, lo que reinicia el período de compromiso de 31 días. Sin embargo, para volver al nivel de pago por uso o a un nivel de compromiso inferior, debe esperar hasta que finalice el período de compromiso de 31 días. La facturación de los niveles de compromiso se realiza diariamente.
Para ver el plan de tarifa de Microsoft Sentinel actual, seleccione Configuración en el panel de navegación Microsoft Sentinel izquierda y, a continuación, seleccione la pestaña Precios. El plan de tarifa actual está marcado como Nivel actual.
Para cambiar el compromiso del plan de tarifa, seleccione uno de los otros planes en la página de precios y, a continuación, seleccione Aplicar. Debe tener Colaborador o Propietario para que el área de trabajo de Microsoft Sentinel cambie el plan de tarifa.
Para más información sobre cómo supervisar los costos, consulte Administración y supervisión de costos para Microsoft Sentinel.
En el caso de las áreas de trabajo que siguen usando planes de tarifa clásicos, los planes de tarifa Microsoft Sentinel no incluyen los cargos de Log Analytics. Para obtener más información, consulte Descripción del modelo de facturación completo para Microsoft Sentinel.
Comprar un plan de compra previa
Ahorre en los costos del nivel de análisis de Microsoft Sentinel al comprar previamente Microsoft Sentinel unidades de confirmación (CPU). Use las CPU compradas previamente en cualquier momento durante el período de compra de un año.
Los costos de Microsoft Sentinel elegibles se deducen primero de las CU precompídas automáticamente. No es necesario volver a implementar ni asignar un plan comprado previamente a las áreas de trabajo de Microsoft Sentinel para que el uso de CU obtenga los descuentos previos a la compra.
Para obtener más información, vea Optimizar los costos de Microsoft Sentinel con un plan de compra previa.
Separación de datos que no son de seguridad en un área de trabajo diferente
Microsoft Sentinel analiza todos los datos ingeridos en áreas de trabajo de Log Analytics habilitadas para Microsoft Sentinel. Es mejor tener un área de trabajo independiente para los datos de operaciones que no son de seguridad, para asegurarse de que no incurre en costos Microsoft Sentinel.
Uso del lago de datos Microsoft Sentinel para obtener una fidelidad menor o datos de seguridad secundarios
Aunque el nivel de análisis es más adecuado para la detección continua de amenazas en tiempo real, el lago de datos Microsoft Sentinel es adecuado para la consulta y el análisis de datos de seguridad secundarios que no son necesarios para la detección de amenazas en tiempo real. Microsoft Sentinel data lake ofrece ingesta y almacenamiento a un costo significativamente menor. Para obtener más información, consulte precios de Microsoft Sentinel.
Optimización de los costos de Log Analytics con clústeres dedicados
Si ingiere al menos 100 GB en el área de trabajo de Microsoft Sentinel o áreas de trabajo de la misma región, considere la posibilidad de pasar a un clúster dedicado de Log Analytics para reducir los costos. Un nivel de compromiso de clúster dedicado de Log Analytics agrega el volumen de datos entre áreas de trabajo que ingiere colectivamente un total de 100 GB o más. Para obtener más información, consulte Plan de tarifa simplificado para clústeres dedicados.
Puede agregar varias áreas de trabajo Microsoft Sentinel a un clúster dedicado de Log Analytics. El uso de un clúster dedicado de Log Analytics para Microsoft Sentinel ofrece un par de ventajas:
Las consultas entre áreas de trabajo se ejecutan más rápido si todas las áreas de trabajo implicadas en la consulta están en el clúster dedicado. Sigue siendo mejor tener el menor número posible de áreas de trabajo en su entorno y un clúster dedicado conserva el límite de 100 áreas de trabajo para su inclusión en una sola consulta entre áreas de trabajo.
Todas las áreas de trabajo del clúster dedicado pueden compartir el nivel de compromiso de Log Analytics establecido en el clúster. No tener que comprometerse a separar los niveles de compromiso de Log Analytics para cada área de trabajo puede permitir ahorros de costos y eficiencias. Al habilitar un clúster dedicado, se confirma un nivel de compromiso mínimo de Log Analytics de 100 GB de ingesta al día.
Estas son algunas otras consideraciones para pasar a un clúster dedicado para la optimización de costos:
- El número máximo de clústeres por región y suscripción es dos.
- Todas las áreas de trabajo vinculadas a un clúster deben estar en la misma región.
- El máximo de áreas de trabajo vinculadas a un clúster es 1000.
- Puede desvincular un área de trabajo vinculada del clúster. El número de operaciones de vínculo en un área de trabajo determinada está limitado a dos en un período de 30 días.
- No se puede mover un área de trabajo existente a un clúster de clave administrada por el cliente (CMK). Debe crear el área de trabajo en el clúster.
- Actualmente no se admite el traslado de un clúster a otro grupo de recursos o suscripción.
- Se produce un error en un vínculo de área de trabajo a un clúster si el área de trabajo está vinculada a otro clúster.
Para obtener más información sobre los clústeres dedicados, consulte Clústeres dedicados de Log Analytics.
Reducir los costos de retención de datos con la retención total
Microsoft Sentinel conserva los datos de nivel de análisis de forma predeterminada durante los primeros 90 días de retención de análisis. A medida que los datos envejecen, pierde su valor para el análisis y la investigación en tiempo real. Es posible que los usuarios del Centro de operaciones de seguridad (SOC) no tengan acceso a los datos anteriores con tanta frecuencia, pero que todavía quieran acceder a los datos con fines de auditoría o investigaciones históricas más amplias. Para ayudarle a reducir Microsoft Sentinel los costos de retención de datos, la retención total está disponible. Los datos que envejecen fuera de su estado de retención de análisis todavía se pueden conservar, a un costo mucho menor y acceder a ellos mediante funcionalidades de exploración de lago de datos. Para obtener más información, consulte Exploración de lago, consultas de KQL.
Use tablas de administración de > datos para ajustar el período de retención de Análisis y Total.
Uso de reglas de recopilación de datos para los eventos de Seguridad de Windows
El conector de eventos de Seguridad de Windows permite transmitir eventos de seguridad desde cualquier equipo que ejecute Windows Server conectado al área de trabajo de Microsoft Sentinel, incluidos servidores físicos, virtuales o locales, o en cualquier nube. Este conector incluye compatibilidad con el agente de Azure Monitor, que usa reglas de recopilación de datos para definir los datos que se recopilan de cada agente.
Las reglas de recopilación de datos permiten administrar la configuración de recopilación a escala, a la vez que permiten configuraciones únicas y con ámbito para subconjuntos de máquinas. Para obtener más información, vea Configurar la recopilación de datos para el agente de supervisión de Azure.
Además de para los conjuntos predefinidos de eventos que puede seleccionar para ingerir, como Todos los eventos, Mínimo o Común, las reglas de recopilación de datos le permiten crear filtros personalizados y seleccionar eventos específicos para ingerir. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen y, a continuación, ingerir solo los eventos seleccionados, dejando todo lo demás atrás. Seleccionar eventos específicos para ingerir puede ayudarle a optimizar los costos y ahorrar más.
Pasos siguientes
- Obtenga información sobre cómo optimizar la inversión en la nube con Microsoft Cost Management.
- Obtenga más información sobre la administración de costos con el análisis de costos.
- Obtenga información sobre cómo evitar costos inesperados.
- Realice el curso de aprendizaje guiado Cost Management .
- Para obtener más sugerencias sobre cómo reducir el volumen de datos de Log Analytics, consulte Azure Supervisión de procedimientos recomendados: administración de costos.
- Para obtener más información sobre Microsoft Sentinel lago de datos, consulte Microsoft Sentinel data lake.
- Para incorporarse a Microsoft Sentinel lago de datos, consulte Incorporación de datos a Microsoft Sentinel lago de datos.