Estimez les coûts avec le calculateur de coûts Microsoft Defender for Cloud.

Le calculateur de coûts Microsoft Defender for Cloud est un outil utile pour estimer les coûts potentiels associés à vos besoins en matière de sécurité dans le cloud. Il vous permet de configurer différents plans et environnements, en fournissant une ventilation détaillée des coûts, y compris les remises applicables.

Accéder à la calculatrice de coûts

Pour utiliser la calculatrice de coûts Defender for Cloud, accédez à la section Paramètres de l’environnement de Microsoft Defender for Cloud. Dans la partie supérieure de l’interface, sélectionnez le bouton Calculatrice de coûts.

Configurer les forfaits et les environnements Defender for Cloud

Dans la première page de la calculatrice, sélectionnez le bouton Ajouter des ressources pour ajouter des ressources au calcul de coûts. Pour ajouter des ressources, utilisez l’une de ces options :

• Ajouter des ressources via un script : téléchargez et exécutez un script pour ajouter automatiquement des ressources existantes.
• Ajouter des ressources à partir d’environnements intégrés : ajoutez des ressources depuis des environnements déjà intégrés à Defender for Cloud.
• Ajouter des ressources personnalisées : ajoutez manuellement des ressources sans passer par l’automatisation.

Remarque

Les forfaits de réservation (P3) pour Defender for Cloud ne sont pas concernés.

Ajouter des ressources via un script

1. Choisissez un type d’environnement (Azure, AWS ou GCP) et copiez le script dans un nouveau fichier *.ps1.

   Remarque

   Le script collecte uniquement les informations auxquelles l’utilisateur qui l’exécute peut accéder.

2. Exécutez le script dans votre environnement PowerShell 7.X avec un compte d’utilisateur privilégié. Le script collecte des informations sur les ressources facturables et génère un fichier CSV. La collecte d’informations s’effectue en deux étapes. Premièrement, le script collecte le nombre actuel de ressources facturables qui restent généralement constantes. Deuxièmement, il collecte des informations sur les ressources facturables qui peuvent massivement évoluer pendant le mois. Pour ces ressources, le script vérifie l’utilisation au cours des 30 derniers jours afin d’évaluer le coût. Vous pouvez arrêter le script après la première étape, ce qui ne prend que quelques secondes. Vous pouvez également poursuivre avec la collecte d’informations sur les 30 derniers jours d’utilisation des ressources dynamiques, ce qui peut prendre plus de temps pour les grands comptes.

3. Importez le fichier CSV généré dans l’assistant dans lequel vous avez téléchargé le script.

4. Sélectionnez les forfaits Defender for Cloud qui vous intéressent. La calculatrice estime les coûts en fonction de vos choix et des remises existantes.

Remarque

• Les forfaits de réservation pour Defender for Cloud ne sont pas concernés.
• Avec Defender pour API : lorsque le coût est calculé en fonction du nombre d’appels d’API au cours des 30 derniers jours, nous sélectionnons automatiquement le meilleur forfait Defender pour API pour vous. En l’absence d’appel d’API au cours des 30 derniers jours, nous désactivons automatiquement ce forfait pour le calcul.

Autorisations nécessaires avec les scripts

Cette section fournit une vue d’ensemble des autorisations nécessaires pour exécuter les scripts en fonction du fournisseur de cloud.

Azure

Pour exécuter correctement ce script avec chaque abonnement, vous devez disposer de certaines autorisations pour le compte que vous utilisez. Celles-ci permettent les opérations suivantes :

• Découvrir et répertorier les ressources (y compris les machines virtuelles, les comptes Stockage, les services APIM, les comptes Cosmos DB, etc.).

• Interroger Resource Graph (via Search-AzGraph).

• Lire les métriques (via Get-AzMetric et les API Azure Monitor/Insights).

Rôle intégré recommandé :

En général, le rôle Lecteurau niveau de l’étendue d’abonnement suffit. Le rôle Lecteur permet d’accéder aux fonctionnalités clés requises par le script, à savoir :

• Lire les ressources de tous types (vous pouvez ainsi répertorier et analyser des éléments comme les comptes de stockage, les machines virtuelles, Cosmos DB et APIM, etc.).
• Lire les métriques (Microsoft.Insights/metrics/read) permettant aux appels Get-AzMetric ou aux requêtes directes REST Azure Monitor d’aboutir.
• Interroger Resource Graph tant que vous disposez au moins d’un accès en lecture aux ressources de l’abonnement.

Remarque

Pour vous assurer de disposer des autorisations de métrique nécessaires, vous pouvez également utiliser le rôle Lecteur d’analyse. Toutefois, le rôle Lecteur standard offre déjà un accès en lecture aux métriques et s’avère généralement suffisant.

Si vous disposez déjà d’un rôle Contributeur ou Propriétaire :

• Le rôle Contributeur ou Propriétaire d’un abonnement se révèle plus que suffisant (leurs privilèges sont supérieurs à ceux du rôle Lecteur).
• Le script n’effectue aucune opération permettant de créer ou de supprimer des ressources. Par conséquent, l’octroi de rôles de niveau supérieur (comme Contributeur/Propriétaire) aux seules fins de collecter des données peut s’avérer excessif au regard des privilèges minimums.

Résumé :

Accordez à l’utilisateur ou au principal de service le rôle Lecteur (ou tout rôle de privilèges supérieurs) pour chaque abonnement à interroger. Cela garantit que le script peut effectuer les tâches suivantes :

• Récupérer la liste des abonnements.
• Énumérer et lire toutes les informations pertinentes sur les ressources (via REST ou Az PowerShell).
• Extraire les métriques nécessaires (demandes d’APIM, consommation de RU pour Cosmos DB, entrée de comptes Stockage, etc.).
• Exécuter des requêtes Resource Graph en toute fluidité.

AWS

Vous trouverez ci-dessous une vue d’ensemble des autorisations nécessaires pour que l’identité AWS (utilisateur ou rôle) puisse exécuter ce script. Le script énumère les ressources (EC2, RDS, EKS, S3, etc.) et extrait les métadonnées associées à ces ressources. Il ne permet pas de créer, de modifier, ni de supprimer des ressources. Par conséquent, un accès en lecture seule est généralement suffisant.

Stratégie managée par AWS : ReadOnlyAccess ou ViewOnlyAccess

L’approche la plus simple consiste à joindre l’une des stratégies intégrées en lecture seule d’AWS au principal IAM (utilisateur/rôle) qui exécutent le script. Voici quelques exemples :

• arn:aws:iam::aws:policy/ReadOnlyAccess
• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

En effet, elles couvrent les autorisations Décrire et Répertorier pour la plupart des services AWS. Si la stratégie de sécurité de l’environnement l’y autorise, l’utilisation de ReadOnlyAccess s’inscrit comme la solution la plus simple pour s’assurer que le script fonctionne sur toutes les ressources AWS énumérées.

Services clés et autorisations requises :

Pour disposer d’une approche plus granulaire avec une stratégie IAM personnalisée, vous devez activer les services et autorisations ci-dessous :

• EC2
  • ec2:DescribeInstances
  • ec2:DescribeRegions
  • ec2:DescribeInstanceTypes (pour extraire les informations sur le processeur virtuel/cœur)
• RDS
  • rds:DescribeDBInstances
• EKS
  • eks:ListClusters
  • eks:DescribeCluster
  • eks:ListNodegroups
  • eks:DescribeNodegroup
• Mise à l’échelle automatique (pour les instances sous-jacentes des groupes de nœuds EKS)
  • autoscaling:DescribeAutoScalingGroups
• S3
  • s3:ListAllMyBuckets
• STS
  • sts:GetCallerIdentity (pour extraire l’ID de compte AWS)

En outre, pour répertorier d’autres ressources non affichées dans le script ou pour étendre les fonctionnalités du script, vous devez octroyer les actions Describe*, List*et Get* en fonction des besoins.

Résumé :

• Le plus simple consiste à joindre la stratégie ReadOnlyAccess intégrée d’AWS, qui inclut déjà toutes les actions requises pour répertorier et décrire EC2, RDS, EKS, S3, la mise à l’échelle automatique des ressources et l’appel STS pour récupérer les informations de votre compte.
• Pour disposer des privilèges minimums, créez une stratégie en lecture seule personnalisée avec les actions Describe*, List*et Get* ci-dessus pour EC2, RDS, EKS, la mise à l’échelle automatique, S3 et STS ci-dessus.

Ces deux approches attribuent au script les autorisations suffisantes pour les opérations suivantes :

• Répertorier les régions.
• Récupérer les métadonnées de l’instance EC2.
• Extraire les instances RDS.
• Répertorier et décrire les clusters et les groupes de nœuds EKS (ainsi que les groupes de mise à l’échelle automatique sous-jacents).
• Dresser la liste des compartiments S3.
• Obtenir votre ID de compte AWS via STS.

Le script peut ainsi détecter les ressources et extraire les métadonnées pertinentes sans créer, modifier, ni supprimer quoi que ce soit.

GCP

Vous trouverez ci-dessous une vue d’ensemble des autorisations nécessaires pour que le compte d’utilisateur ou de service GCP puisse exécuter ce script. Pour résumer, le script doit répertorier et décrire les ressources (instances de machine virtuelle, Cloud SQL, clusters GKE et compartiments GCS) du projet sélectionné.

Rôle intégré recommandé : Observateur de projet

Pour garantir l’accès en lecture seule à toutes ces ressources, la solution la plus simple consiste à accorder au compte d’utilisateur ou de service le rôlerôles/observateur au niveau du projet (à savoir celui sélectionné via le projet du jeu de configuration gcloud).

Le rôle rôles/observateur inclut un accès en lecture seule à la plupart des services GCP du projet, y compris les autorisations nécessaires pour les éléments suivants :

• Compute Engine (répertorier les instances de machine virtuelle, les modèles d’instance, les types de machines, etc.).
• Cloud SQL (répertorier les instances SQL).
• Moteur Kubernetes (répertorier les clusters, les pools de nœuds, etc.).
• Stockage cloud (répertorier les compartiments).

Autorisations granulaires par service (avec un rôle personnalisé) :

Pour une approche plus granulaire, vous pouvez créer un rôle IAM personnalisé ou un jeu de rôles qui accorde uniquement les actions lire-répertorier-décrire nécessaires pour chaque service :

• Compute Engine (pour les instances de machine virtuelle, les régions, les modèles d’instance, les gestionnaires de groupes d’instances) :
  • compute.instances.list
  • compute.regions.list
  • compute.machineTypes.list
  • compute.instanceTemplates.get
  • compute.instanceGroupManagers.get
  • compute.instanceGroups.get
• Cloud SQL :
  • cloudsql.instances.list
• Moteur Google Kubernetes :
  • container.clusters.list
  • container.clusters.get (nécessaire pour la description de clusters)
  • container.nodePools.list
  • container.nodePools.get
• Stockage cloud :
  • storage.buckets.list

Le script ne permet pas de créer ni de modifier de ressources. Par conséquent, il ne nécessite aucune autorisation de mise à jour ou de suppression. Seules les autorisations permettant de répertorier, extraire ou décrire sont requises.

Résumé :

• L’utilisation du rôle « rôles/observateur » au niveau du projet constitue la solution la plus simple et la plus rapide pour accorder les autorisations nécessaires à l’exécution du script.
• Pour disposer de l’approche la plus stricte avec privilèges minimums, créez ou combinez des rôles personnalisés qui incluent uniquement les actions répertorier/décrire/extraire pour Compute Engine, Cloud SQL, GKE et Stockage cloud.

Avec ces autorisations, le script permet les opérations suivantes :

• Authentifier (gcloud auth login).
• Répertorier les instances de machine virtuelle, les types de machines, les gestionnaires de groupes d’instances, etc.
• Répertorier les instances Cloud SQL.
• Répertorier/Décrire les clusters et pools de nœuds GKE.
• Répertorier les compartiments GCS.

Cet accès en lecture permet d’énumérer le nombre de ressources et de collecter des métadonnées sans modifier, ni créer de ressources.

Attribuer des ressources intégrées

1. Faites votre choix dans la liste des environnements Azure déjà intégrés à Defender for Cloud pour les inclure au calcul de coûts.

   Remarque

   Seules les ressources ayant reçu une autorisation pendant l’intégration sont incluses.

2. Sélectionnez les forfaits. La calculatrice estime le coût en fonction des choix et des remises existantes.

Attribuer des ressources personnalisées

1. Choisissez un nom pour l’environnement personnalisé.
2. Choisissez les forfaits ainsi que le nombre de ressources facturables pour chaque forfait.
3. Choisissez les types de ressources à intégrer au calcul de coûts.
4. La calculatrice estime les coûts en fonction de vos choix et des remises existantes.

Remarque

Les forfaits de réservation pour Defender for Cloud ne sont pas concernés.

Affiner votre rapport

Une fois le rapport généré, vous pouvez affiner les forfaits et le nombre de ressources facturables :

1. Pour choisir l’environnement à modifier, sélectionnez l’icône « Modifier » (en forme de crayon).
2. Une page de configuration s’affiche. Elle vous permet d’ajuster les forfaits, le nombre de ressources facturables et la moyenne horaire mensuelle.
3. Sélectionnez le bouton Recalculer pour actualiser l’estimation des coûts.

Exporter le rapport

Lorsque le rapport vous convient, vous pouvez l’exporter en tant que fichier CSV :

1. Sélectionnez le bouton Exporter au format CSV en bas du panneau Résumé de droite.
2. Les informations de coût sont téléchargées sous forme de fichier CSV.

Forum aux questions

Qu’est-ce que la calculatrice de coûts ?

La calculatrice de coûts est un outil conçu pour simplifier le processus d’estimation des coûts associés à vos besoins de protection de sécurité. Configurez l’étendue de vos forfaits et environnements : la calculatrice fournit une répartition détaillée des dépenses potentielles, remises éligibles incluses.

Comment fonctionne la calculatrice de coûts ?

La calculatrice vous permet de choisir les environnements et les forfaits qui vous intéressent. La calculatrice exécute un processus de détection pour déterminer automatiquement le nombre d’unités facturables par forfait et par environnement. Vous pouvez également modifier manuellement le nombre d’unités et les niveaux de remise.

Qu’est-ce que le processus de détection ?

Le processus de détection génère un rapport sur l’environnement choisi et dresse l’inventaire des ressources facturables pour les différents forfaits Defender for Cloud. Ce processus repose sur les autorisations de l’utilisateur et l’état de l’environnement au moment de la détection. Pour les environnements volumineux, le processus peut durer entre 30 et 60 minutes, car les ressources dynamiques sont également échantillonnées.

Dois-je accorder une autorisation spéciale à la calculatrice de coûts pour l’exécution du processus de détection ?

La calculatrice de coûts utilise les autorisations existantes de l’utilisateur pour exécuter le script et exécuter automatiquement la détection. Cela permet de collecter les données nécessaires sans nécessiter de droits d’accès supplémentaires. Pour connaître les autorisations dont l’utilisateur a besoin pour exécuter le script, reportez-vous à la section Autorisations nécessaires avec les scripts.

Les estimations de coûts sont-elles précises ?

La calculatrice fournit une estimation en fonction des informations disponibles lors de l’exécution du script. Plusieurs facteurs peuvent influencer le coût final. Vous devez donc considérer les résultats comme un calcul approximatif.

Que sont les unités facturables ?

Le coût des forfaits varie en fonction des unités protégées. Chaque forfait est associé à un type d’unité spécifique, lesquels sont répertoriés à la page Paramètres Microsoft Defender for Cloud.

Puis-je affiner les estimations manuellement ?

Oui, la calculatrice de coûts permet à la fois une collecte de données automatique et des ajustements manuels. Vous pouvez modifier le nombre d’unités et les niveaux de remise de sorte à mieux refléter vos besoins spécifiques et déterminer comment ces modifications affectent le coût global.

La calculatrice prend-elle en charge plusieurs fournisseurs cloud ?

En effet, elle offre une prise en charge multicloud, ce qui vous permet d’obtenir des estimations de coûts précises, quel que soit votre fournisseur de cloud.

Comment partager une estimation de coût ?

Une fois l’estimation de coûts générée, vous pouvez facilement l’exporter et la partager à des fins de planification budgétaire et d’approbation. Cette fonctionnalité garantit que toutes les parties prenantes accèdent aux informations nécessaires.

À qui m’adresser en cas de questions ?

Notre équipe de support se tient à votre disposition pour répondre à toutes vos questions ou incertitudes. N’hésitez pas à nous contacter pour obtenir de l’aide.

Comment essayer la calculatrice de coûts ?

Nous vous invitons à essayer la nouvelle calculatrice de coûts et à expérimenter ses avantages dès maintenant. Pour commencer, accédez à l’outil et définissez l’étendue de votre protection. Pour utiliser la calculatrice de coûts Defender for Cloud, accédez aux Paramètres Microsoft Defender for Cloud et sélectionnez le bouton Calculatrice de coûts dans la section supérieure.

Contenu connexe

• Tarifs de Microsoft Defender pour le cloud
• Optimiser les coûts de Microsoft Defender for Cloud avec un forfait en préachat