Gérer et surveiller les coûts pour Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Une fois que vous avez commencé à utiliser des ressources Microsoft Sentinel, utilisez les fonctionnalités Cost Management pour définir des budgets et superviser les coûts. Vous pouvez également passer en revue les coûts prévus et déterminer les tendances des dépenses pour identifier les domaines où vous pourriez agir.

Les coûts pour Microsoft Sentinel ne représentent qu’une partie des coûts mensuels sur votre facture Azure. Cet article explique comment gérer et surveiller les coûts pour Microsoft Sentinel. Tous les services et ressources Azure utilisés par votre abonnement Azure, dont les services partenaires, vous sont toutefois facturés.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiées dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour afficher les données de coût et effectuer une analyse des coûts dans Cost Management, vous devez disposer d’un type de compte Azure pris en charge, avec au moins un accès en lecture.

L’analyse des coûts dans Cost Management prend en charge la plupart des types de comptes Azure, mais pas tous. Pour accéder à la liste complète des types de comptes pris en charge, voir Comprendre les données de Cost Management.

Pour plus d’informations sur l’attribution de l’accès aux données Microsoft Cost Management, consultez Assigner l’accès aux données.

Afficher les coûts à l’aide de l’analyse des coûts

À mesure que vous utilisez des ressources Azure avec Microsoft Sentinel, vous générez des coûts. Les coûts unitaires d’utilisation des ressources Azure varient selon les intervalles de temps (secondes, minutes, heures et jours) ou selon l’utilisation d’unités (octets et mégaoctets). Dès que Microsoft Sentinel commence à analyser des données facturables, cela entraîne des coûts. Affichez ces coûts à l’aide de l’analyse des coûts dans le portail Azure. Pour plus d’informations, consultez Commencer à utiliser l’analyse des coûts.

Quand vous effectuez une analyse des coûts, vous voyez les coûts Microsoft Sentinel dans des graphes et des tableaux pour différents intervalles de temps. Par exemple, par jour, par année ou pour le mois en cours ou le mois précédent. Vous pouvez aussi afficher les coûts par rapport aux budgets et aux coûts prévus. Passez à des vues pour des périodes plus longues pour identifier les tendances des dépenses. Ceci vous permet de voir où des dépassements ont pu se produire. Si vous avez créé des budgets, vous pouvez aussi facilement voir à quel moment ils ont été dépassés.

Le hub Microsoft Cost Management + Facturation offre une fonctionnalité utile. Après avoir ouvert Cost Management and Billing dans le portail Azure, sélectionnez Cost Management dans le volet de navigation gauche, puis sélectionnez l’étendue ou l’ensemble des ressources à examiner, par exemple un abonnement Azure ou un groupe de ressources.

L’écran Analyse des coûts présente des vues détaillées de votre utilisation et de vos coûts Azure, avec la possibilité d’appliquer divers contrôles et filtres.

Par exemple, pour voir les graphiques de vos coûts quotidiens pour une certaine période :

1. Cliquez sur le caret déroulant dans le champ Afficher et sélectionnez Coûts cumulés ou Coûts quotidiens.

2. Cliquez sur le caret déroulant dans le champ Date et sélectionnez une plage de dates.

3. Cliquez sur le caret déroulant à côté de Granularité et sélectionnez Quotidien.

   Les coûts indiqués dans l’image suivante sont donnés à titre d’exemple uniquement. Ils ne sont pas destinés à refléter les coûts réels.

   

Vous pouvez également appliquer d’autres contrôles. Par exemple, pour afficher uniquement les coûts associés à Microsoft Sentinel, sélectionnez Ajouter un filtre, Nom du service, puis les noms de service Sentinel, Log Analytics et Azure Monitor.

Les volumes d’ingestion de données Microsoft Sentinel apparaissent sous Insights sur la sécurité dans certains graphiques d’utilisation du portail.

Les niveaux tarifaires classiques de Microsoft Sentinel n’incluent pas de frais Log Analytics. Ces frais peuvent donc être facturés séparément. La tarification simplifiée de Microsoft Sentinel combine les deux coûts en un seul ensemble de niveaux. Pour en savoir plus sur les niveaux tarifaires simplifiés de Microsoft Sentinel, consultez Niveaux tarifaires simplifiés.

Pour plus d’informations sur la réduction des coûts, consultez Créer des budgets et Réduire les coûts dans Microsoft Sentinel.

Utilisation du prépaiement Azure avec Microsoft Sentinel

Vous pouvez payer les frais Microsoft Sentinel avec votre crédit de paiement anticipé Azure. Toutefois, vous ne pouvez pas utiliser le crédit de paiement anticipé Azure afin de payer des factures à des organisations non Microsoft pour leurs produits et services, ou pour des produits de la Place de marché Azure.

Exécuter des requêtes pour comprendre votre ingestion des données

Microsoft Sentinel utilise un langage de requête étendu pour analyser d’énormes volumes de données opérationnelles, interagir avec elles et en tirer des insights en quelques secondes. Voici quelques requêtes Kusto que vous pouvez utiliser pour comprendre votre volume d’ingestion de données.

Exécutez la requête suivante pour afficher le volume d’ingestion de données par solution :

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Exécutez la requête suivante pour afficher le volume d’ingestion de données par type de données :

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Exécutez la requête suivante pour afficher le volume d’ingestion de données par solution et par type de données :

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Déployer un classeur pour visualiser l’ingestion des données

Le classeur Rapport sur l’utilisation de l’espace de travail fournit des statistiques sur la consommation, le coût et l’utilisation des données de votre espace de travail. Le classeur indique l’état d’ingestion des données de l’espace de travail et la quantité de données gratuites et facturables. Vous pouvez utiliser la logique du classeur pour surveiller l’ingestion de données et les coûts et pour créer des vues personnalisées et des alertes basées sur des règles.

Ce classeur fournit également des détails granulaires sur l’ingestion. Le classeur décompose les données de votre espace de travail par table de données et fournit des volumes par table et par entrée pour vous aider à mieux comprendre vos modèles d’ingestion.

Pour activer le classeur Rapport sur l’utilisation de l’espace de travail :

1. Dans le volet de navigation gauche de Microsoft Sentinel, sélectionnez Gestion des menaces>Classeurs.
2. Entrez utilisation de l’espace de travail dans la barre de recherche, puis sélectionnez Rapport sur l’utilisation de l’espace de travail.
3. Sélectionnez Afficher le modèle pour utiliser le classeur tel quel, ou Enregistrer pour créer une copie modifiable du classeur. Si vous enregistrez une copie, sélectionnez Afficher le classeur enregistré.
4. Dans le classeur, sélectionnez l’abonnement et l’espace de travail que vous souhaitez afficher, puis définissez le TimeRange (intervalle de temps) sur la période que vous souhaitez visualiser. Vous pouvez régler le bouton bascule Afficher l’aide sur Oui pour afficher des explications intégrées dans le classeur.

Exporter des données de coûts

Vous pouvez également exporter vos données de coûts vers un compte de stockage. C’est utile quand vous ou d’autres personnes avez besoin d’effectuer une analyse supplémentaire des données concernant les coûts. Par exemple, une équipe Finance peut analyser les données avec Excel ou Power BI. Vous pouvez exporter vos coûts selon une planification quotidienne, hebdomadaire ou mensuelle, et définir une plage de dates personnalisée. L’exportation des données des coûts est la méthode recommandée pour récupérer les jeux de données des coûts.

Créer des budgets

Vous pouvez créer des budgets pour gérer les coûts et des alertes permettant d’avertir automatiquement des parties prenantes en cas d’anomalies de dépenses et de risques de dépenses excessives. Les alertes sont basées sur les dépenses par rapport aux seuils de budget et de coût. Les budgets et les alertes sont créés pour les abonnements et les groupes de ressources Azure : ils sont donc utiles dans le cadre d’une stratégie globale de supervision des coûts.

Vous pouvez créer des budgets avec des filtres pour des ressources ou des services spécifiques dans Azure si vous souhaitez disposer d’une plus grande précision dans votre supervision. Les filtres vous permettent de vous assurer que vous ne créez pas accidentellement de nouvelles ressources entraînant un surcoût. Pour plus d’informations sur les options de filtre disponibles lorsque vous créez un budget, consultez Options de regroupement et de filtre.

Utiliser un guide opérationnel pour les alertes relatives à la gestion des coûts

Pour vous aider à contrôler votre budget Microsoft Sentinel, vous pouvez créer un guide opérationnel de gestion des coûts. Le guide opérationnel vous envoie une alerte si votre espace de travail Microsoft Sentinel dépasse un budget, que vous définissez, dans un délai donné.

La communauté GitHub de Microsoft Sentinel fournit le guide opérationnel de gestion des coûts Send-IngestionCostAlert sur GitHub. Ce guide opérationnel est activé par un déclencheur de périodicité et vous offre un niveau élevé de flexibilité. Vous pouvez contrôler la fréquence d’exécution, le volume d’ingestion et le message à déclencher, en fonction de vos besoins.

Définir un plafond de volume de données dans Log Analytics

Dans Log Analytics, vous pouvez activer un plafond de volume quotidien qui limite l’ingestion quotidienne de votre espace de travail. Le plafond quotidien peut vous aider à gérer les augmentations inattendues du volume de données, à rester sous votre limite et à limiter les frais non planifiés.

Pour définir un plafond de volume quotidien, sélectionnez Utilisation et estimation des coûts dans le volet de navigation gauche de votre espace de travail Log Analytics, puis sélectionnez Plafond quotidien. Sélectionnez Activé, entrez une valeur limite de volume quotidien, puis sélectionnez OK.

L’écran Utilisation et estimation des coûts indique également la tendance du volume de données ingérées au cours des 31 derniers jours, ainsi que le volume total de données conservées.

Pour plus d’informations, consultez Limite quotidienne sur un espace de travail Log Analytics.

Étapes suivantes

• Réduction des coûts de Microsoft Sentinel
• Découvrez comment optimiser votre investissement cloud avec Microsoft Cost Management.
• Apprenez-en davantage sur la gestion des coûts avec l’analyse du coût.
• Découvrez comment éviter des coûts imprévus.
• Suivez le cours d’apprentissage guidé Cost Management.
• Pour obtenir des conseils supplémentaires sur la réduction du volume de données Log Analytics, consultez Meilleures pratiques Azure Monitor : Gestion des coûts.