Administración y supervisión de los costos de Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cuando haya empezado a usar recursos de Microsoft Sentinel, emplee las características de Cost Management para definir presupuestos y supervisar costos. También puede revisar los costos previstos e identificar las tendencias de gasto para identificar las áreas en las que podría querer actuar.

Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo administrar y supervisar los costos de Microsoft Sentinel, se le van a facturar todos los servicios y recursos de Azure que se usen en la suscripción de Azure, incluidos los servicios de asociados.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, vea Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para ver los datos de costos y realizar análisis de costos en Cost Management, debe tener un tipo de cuenta de Azure compatible, con al menos acceso de lectura.

Aunque el análisis de costos de Cost Management admite la mayoría de los tipos de cuenta de Azure, no se admiten todos. Para ver la lista completa de tipos de cuenta compatibles, consulte Understand Cost Management data (Información sobre los datos de Cost Management).

Para más información acerca de la asignación de acceso a los datos de Microsoft Cost Management, consulte Asignación del acceso a los datos.

Visualización de los costos mediante el análisis de costos

A medida que se usan recursos de Azure con Microsoft Sentinel, se incurre en costos. Los costos unitarios de uso de los recursos de Azure varían según intervalos de tiempo, como segundos, minutos, horas y días, o según el uso de unidades, como bytes, megabytes, etc. Tan pronto como Microsoft Sentinel empiece a analizar los datos facturables, incurre en costes. Vea estos costes mediante el análisis de costes en Azure Portal. Para obtener más información, vea Empezar a usar el análisis de costes.

Con el análisis de costos puede ver los costos de Microsoft Sentinel en grafos y tablas de diferentes intervalos de tiempo. Algunos ejemplos son: por día, mes actual y anterior y año. También puede ver los costos comparados con los presupuestos y los costos previstos. Con el tiempo, cambiar a vistas más largas puede ayudarle a identificar las tendencias de gasto y comprobar dónde este se ha sobrepasado. Si ha creado presupuestos, también podrá ver fácilmente dónde se han excedido.

El centro deAdministración de costes y facturación de Microsoft proporciona una funcionalidad útil. Después de abrir Cost Management + Billing en Azure Portal, seleccione Cost Management en el panel de navegación izquierdo y, a continuación, seleccione el ámbito o el conjunto de recursos que desea investigar, como una suscripción o un grupo de recursos de Azure.

La pantalla Análisis de costos muestra vistas detalladas del uso y los costos de Azure, con la opción de aplicar una variedad de controles y filtros.

Por ejemplo, para ver gráficos de los costos diarios de un período de tiempo determinado, haga lo siguiente:

  1. Seleccione el símbolo de intercalación desplegable en el campo Ver y seleccione Costos acumulados o Costos diarios.

  2. Seleccione el símbolo de intercalación desplegable en el campo de fecha y seleccione un intervalo de fechas.

  3. Seleccione el símbolo de intercalación desplegable situado junto a Granularidad y seleccione Diariamente.

    Los costos que se muestran en la siguiente imagen son solo a modo de ejemplo. No están diseñados para reflejar los costos reales.

    Captura de pantalla en la que se muestra una pantalla de análisis de costes de Cost Management + Billing.

También puede aplicar más controles. Por ejemplo, para ver solo los costes asociados a Microsoft Sentinel, seleccione Agregar filtro, seleccione Nombre del servicio, y a continuación, seleccione los nombres de servicio Sentinel, Log Analyticsy Azure Monitor.

Los volúmenes de ingesta de datos de Microsoft Sentinel aparecen en Información de seguridad en algunos gráficos de uso del portal.

Los planes de tarifa clásicos de Microsoft Sentinel no incluyen cargos de Log Analytics, por lo que es posible que vea esos cargos facturados por separado. Los precios simplificados de Microsoft Sentinel combinan los dos costos en un conjunto de niveles. Para más información sobre los planes de tarifa simplificados de Microsoft Sentinel, vea Planes de tarifa simplificados.

Para obtener más información sobre cómo reducir los costes, vea Creación de presupuestos y reducción de costes en Microsoft Sentinel.

Uso del pago por adelantado de Azure con Microsoft Sentinel

Puede pagar los cargos de Microsoft Sentinel con el crédito del pago por adelantado de Azure. Sin embargo, no puede usar el crédito de pago por adelantado de Azure para pagar facturas a organizaciones que no son de Microsoft para sus productos y servicios, o para productos de Azure Marketplace.

Ejecute consultas para comprender la ingesta de datos

Microsoft Sentinel usa un completo lenguaje de consulta para analizar y obtener información a partir de grandes volúmenes de datos operativos en cuestión de segundos, e interactuar con ella. Estas son algunas consultas de Kusto que puede usar para conocer el volumen de la ingesta de datos.

Ejecute la siguiente consulta para mostrar el volumen de ingesta de datos por solución:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Ejecute la siguiente consulta para mostrar el volumen de ingesta de datos por tipo de datos:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Ejecute la siguiente consulta para mostrar el volumen de ingesta de datos por solución y por tipo de datos:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Implemente un libro para visualizar la ingesta de datos

El libro sobre el informe de utilización del área de trabajo proporciona las estadísticas de consumo, costo y utilización de datos del área de trabajo. El libro proporciona el estado de ingesta de datos del área de trabajo y la cantidad de datos gratuitos y facturables. Puede usar la lógica del libro para supervisar los datos ingeridos y costos, y crear vistas personalizadas y alertas basadas en reglas.

Este libro también proporciona detalles de ingesta granulares. El libro desglosa los datos del área de trabajo por tabla de datos y proporciona volúmenes por tabla y entrada para ayudarle a comprender mejor los patrones de ingesta.

Para habilitar el libro de informe de uso del área de trabajo, haga lo siguiente:

  1. En el panel de navegación izquierdo de Microsoft Sentinel, seleccione Administración de amenazas>Libros.
  2. Escriba uso del área de trabajo en la barra de búsqueda y, a continuación, seleccione Informe de uso del área de trabajo.
  3. Seleccione Ver plantilla para usar el libro tal cual, o bien seleccione Guardar para crear una copia modificable del libro. Si guarda una copia, seleccione Ver libro guardado.
  4. En el libro, seleccione los valores de Suscripción y Área de trabajo que desea ver y, a continuación, establezca TimeRange en el período de tiempo que desea ver. Puede establecer el botón de alternancia Mostrar ayuda en para mostrar explicaciones en contexto en el libro.

Exportación de datos de costos

También puede exportar los datos de costos a una cuenta de almacenamiento. La exportación de datos de costos resulta útil cuando usted u otro usuario necesita hacer un análisis de datos adicional para los costos. Por ejemplo, un equipo de finanzas puede analizar los datos con Excel o Power BI. Puede exportar los costos en una programación diaria, semanal o mensual y establecer un intervalo de fechas personalizado. La exportación de los datos de costos es la forma recomendada de recuperar conjuntos de datos de costos.

Creación de presupuestos

Puede crear presupuestos para administrar los costos y crear alertas que envíen notificaciones automáticamente a las partes interesadas sobre anomalías en los gastos y riesgos de gastos adicionales. Las alertas se basan en el gasto comparado con los umbrales de presupuesto y costo. Los presupuestos y las alertas se crean para las suscripciones y los grupos de recursos de Azure, por lo que son útiles como parte de una estrategia general de supervisión de costos.

Puede crear presupuestos con filtros para recursos o servicios de Azure específicos si quiere más detalle en la supervisión. Los filtros ayudan a garantizar que no se crean accidentalmente recursos, que suponen un mayor costo. Para más información sobre las opciones de filtro disponibles al crear un presupuesto, consulte Opciones de agrupación y filtrado.

Use un cuaderno de estrategias para alertas de administración de costos

Para controlar el presupuesto de Microsoft Sentinel, puede crear un cuaderno de estrategias de administración de costos. El cuaderno de estrategias le envía una alerta si el área de trabajo de Microsoft Sentinel supera un presupuesto definido dentro de un período de tiempo determinado.

La comunidad de GitHub de Microsoft Sentinel proporciona el cuaderno de estrategias de administración de costos Send-IngestionCostAlert en GitHub. Este cuaderno de estrategias se activa mediante un desencadenador de periodicidad y proporciona un alto nivel de flexibilidad. Puede controlar la frecuencia de ejecución, el volumen de ingesta y el mensaje que se va a desencadenar, según sus requisitos.

Definir un límite de volumen de datos en Log Analytics

En Log Analytics, puede habilitar un límite de volumen diario que restrinja la ingesta diaria del área de trabajo. El límite diario puede ayudarle a administrar aumentos inesperados en el volumen de datos, mantenerse dentro del límite y restringir los cargos no previstos.

Para definir un límite de volumen diario, seleccione Utilización y costos estimados en el panel de navegación izquierdo del área de trabajo de Log Analytics y, a continuación, seleccione Límite diario. Seleccione Activado, escriba una cantidad máxima de volumen diaria y, a continuación, seleccione Aceptar.

Instantánea que muestra la pantalla de Utilización y costos estimados y la ventana de Límite diario.

La pantalla Uso y costos estimados también muestra la tendencia del volumen de datos ingeridos en los últimos 31 días y el volumen total de datos retenidos.

Para obtener más información, vea Establecimiento del límite diario en el área de trabajo de Log Analytics.

Pasos siguientes