Megosztás a következőn keresztül:

A Microsoft Sentinel költségeinek csökkentése

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel költségei csak az Azure-számla havi költségeinek egy részét képezik. Bár ez a cikk bemutatja, hogyan csökkenthetők a Microsoft Sentinel költségei, az Azure-előfizetés által használt összes Azure-szolgáltatásért és erőforrásért, beleértve a partnerszolgáltatásokat is.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Tarifacsomag beállítása vagy módosítása

A legnagyobb megtakarítás érdekében monitorozza a betöltési kötetet, hogy meggyőződjön arról, hogy rendelkezik a betöltési kötet mintáihoz leginkább illeszkedő kötelezettségvállalási szinttel. Fontolja meg a kötelezettségvállalási szint növelését vagy csökkentését, hogy igazodjon a változó adatmennyiségekhez.

Bármikor növelheti a kötelezettségvállalási szintet, amely újraindítja a 31 napos kötelezettségvállalási időszakot. Ha azonban vissza szeretne lépni a használatalapú fizetésre vagy egy alacsonyabb kötelezettségvállalási szintre, meg kell várnia, amíg a 31 napos kötelezettségvállalási időszak befejeződik. A kötelezettségvállalási szintek számlázása naponta történik.

Az aktuális Microsoft Sentinel tarifacsomag megtekintéséhez válassza a Beállítások lehetőséget a Microsoft Sentinel bal oldali navigációs sávjában, majd válassza a Díjszabás lapot. Az aktuális tarifacsomag az Aktuális szint megjelöléssel van megjelölve.

A tarifacsomag-kötelezettségvállalás módosításához válassza ki az egyik másik szintet a díjszabási oldalon, majd válassza az Alkalmaz lehetőséget. A tarifacsomag módosításához a Microsoft Sentinel-munkaterület közreműködőjének vagy tulajdonosának kell lennie.

Képernyőkép a Microsoft Sentinel-beállítások díjszabási oldaláról, amelyen a használatalapú fizetés az aktuális tarifacsomagként van kiválasztva.

A költségek monitorozásáról további információt a Microsoft Sentinel költségeinek kezelése és monitorozása című témakörben talál.

A továbbra is klasszikus tarifacsomagokat használó munkaterületek esetében a Microsoft Sentinel tarifacsomagjai nem tartalmazzák a Log Analytics-díjakat. További információ: Egyszerűsített tarifacsomagok.

Vásárlás előtti csomag vásárlása

A Microsoft Sentinel véglegesítési egységeinek (CU-k) előre történő megvásárlásakor a Microsoft Sentinel költségeit csökkentheti. Az előre megvásárolt termékváltozatokat az egyéves vásárlási időszak alatt bármikor használhatja.

Minden jogosult Microsoft Sentinel-költség automatikusan levonható az előre megvásárolt termékváltozatokból. Nem kell újra üzembe helyeznie vagy előre megvásárolt csomagot hozzárendelnie a Microsoft Sentinel-munkaterületekhez a CU-használathoz az elővásárlási kedvezmények igénybevételéhez.

További információ: A Microsoft Sentinel költségeinek optimalizálása elővásárlási csomaggal.

Nem biztonsági adatok elkülönítése egy másik munkaterületen

A Microsoft Sentinel elemzi a Microsoft Sentinel-kompatibilis Log Analytics-munkaterületekre betöltött összes adatot. A legjobb, ha külön munkaterülettel rendelkezik a nem biztonsági üzemeltetési adatokhoz, hogy az ne járjon a Microsoft Sentinel költségeivel.

Ha a Microsoft Sentinelben fenyegetéseket keres vagy vizsgál, előfordulhat, hogy hozzá kell férnie a különálló Azure Log Analytics-munkaterületeken tárolt operatív adatokhoz. Ezeket az adatokat munkaterületek közötti lekérdezéssel érheti el a naplófeltárási felületen és a munkafüzetekben. A munkaterületek közötti elemzési szabályok és a keresési lekérdezések azonban csak akkor használhatók, ha a Microsoft Sentinel engedélyezve van az összes munkaterületen.

Alacsony költségű naplótípusok kiválasztása nagy mennyiségű, alacsony értékű adatokhoz

Míg a standard elemzési naplók a legmegfelelőbbek a folyamatos, valós idejű fenyegetésészleléshez, két másik naplótípus – az alapszintű naplók és a kiegészítő naplók – jobban megfelelnek a részletes, nagy kötetű, alacsony értékű naplók alkalmi lekérdezéséhez és kereséséhez, amelyek nem gyakran szükségesek vagy igény szerint érhetők el. Az alapszintű naplóadatok betöltésének engedélyezése jelentősen csökkentett költséggel, vagy kiegészítő naplóadatok betöltése (most előzetes verzióban) még alacsonyabb költséggel a jogosult adattáblák esetében. További információkért lásd a Microsoft Sentinel díjszabását.

Log Analytics-költségek optimalizálása dedikált fürtökkel

Ha legalább 100 GB-ot betölt a Microsoft Sentinel-munkaterületére vagy munkaterületeibe ugyanabban a régióban, érdemes lehet áthelyezni egy dedikált Log Analytics-fürtre a költségek csökkentése érdekében. A dedikált Log Analytics-fürt kötelezettségvállalási szintje összesíti az adatmennyiséget olyan munkaterületeken, amelyek együttesen összesen 100 GB-ot vagy annál többet érnek el. További információt a dedikált fürtök egyszerűsített tarifacsomagja című témakörben talál.

Több Microsoft Sentinel-munkaterületet is hozzáadhat egy dedikált Log Analytics-fürthöz. A Dedikált Log Analytics-fürtök Microsoft Sentinelhez való használata számos előnnyel jár:

  • A munkaterületek közötti lekérdezések gyorsabban futnak, ha a lekérdezésben részt vevő összes munkaterület a dedikált fürtben található. A legjobb, ha a lehető legkevesebb munkaterületet használja a környezetben, és egy dedikált fürt továbbra is megtartja a 100 munkaterületre vonatkozó korlátot egyetlen munkaterületközi lekérdezésbe való felvételhez.

  • A dedikált fürt összes munkaterülete megoszthatja a fürtön beállított Log Analytics-kötelezettségvállalási szintet. Ha nem kell külön Log Analytics-kötelezettségvállalási szinteket elköteleznie az egyes munkaterületekhez, költségmegtakarítást és hatékonyságot tehet lehetővé. Egy dedikált fürt engedélyezésével napi 100 GB-os minimális Log Analytics-kötelezettségvállalási szintre kötelezheti el magát.

Íme néhány további szempont a dedikált fürtre való áttéréshez a költségoptimalizálás érdekében:

  • A fürtök maximális száma régiónként és előfizetésenként két.
  • A fürthöz társított összes munkaterületnek ugyanabban a régióban kell lennie.
  • A fürthöz társított munkaterületek maximális száma 1000.
  • A csatolt munkaterületeket leválaszthatja a fürtről. Egy adott munkaterületen a kapcsolati műveletek száma 30 nap alatt kettőre korlátozódik.
  • Meglévő munkaterület nem helyezhető át ügyfél által felügyelt kulcsú (CMK) fürtre. Létre kell hoznia a munkaterületet a fürtben.
  • A fürtök áthelyezése egy másik erőforráscsoportba vagy előfizetésbe jelenleg nem támogatott.
  • A fürtre mutató munkaterület-hivatkozás meghiúsul, ha a munkaterület egy másik fürthöz van csatolva.

A dedikált fürtökkel kapcsolatos további információkért lásd a dedikált Log Analytics-fürtöket.

Adatmegőrzési költségek csökkentése hosszú távú megőrzéssel

A Microsoft Sentinel alapértelmezés szerint interaktív formában őrzi meg az adatokat az első 90 napban. A Log Analytics adatmegőrzési időszakának módosításához válassza a bal oldali navigációs sávOn a Használat és becsült költségek lehetőséget, majd válassza az Adatmegőrzés lehetőséget, majd állítsa be a csúszkát.

A Microsoft Sentinel biztonsági adatai néhány hónap elteltével elveszíthetik értékük egy részét. Előfordulhat, hogy a Biztonsági műveleti központ (SOC) felhasználóinak nem kell olyan gyakran hozzáférnie a régebbi adatokhoz, mint az újabb adatok, de előfordulhat, hogy szórványos vizsgálat vagy naplózás céljából hozzá kell férnie az adatokhoz.

A Microsoft Sentinel adatmegőrzési költségeinek csökkentése érdekében az Azure Monitor mostantól hosszú távú adatmegőrzést biztosít. Az interaktív megőrzési állapotán kívülre öregedő adatok továbbra is megőrizhetők akár tizenkét évig is, sokkal alacsonyabb költség mellett és a használat korlátozása mellett. További információ: Adatmegőrzés kezelése Log Analytics-munkaterületen.

A költségeket még tovább csökkentheti, ha a másodlagos biztonsági adatokat tartalmazó táblákat regisztrálja a Kiegészítő naplók csomagban (most előzetes verzióban). Ez a terv lehetővé teszi a nagy mennyiségű, alacsony értékű naplók alacsony áron történő tárolását, amelynek elején egy alacsonyabb költségű, 30 napos interaktív megőrzési időszak áll rendelkezésre, amely lehetővé teszi az összegzést és az alapszintű lekérdezést. A Kiegészítő naplók csomagról és más csomagokról a Microsoft Sentinel naplómegőrzési csomagjaiban talál további információt. Bár a kiegészítő naplók csomagja továbbra is előzetes verzióban marad, az Alapszintű naplók csomagban is regisztrálhatja ezeket a táblákat. Az alapszintű naplók hasonló funkciókat kínálnak a kiegészítő naplókhoz, de kevesebb költségmegtakarítással.

Adatgyűjtési szabályok használata a Windows biztonság-eseményekhez

A Windows biztonság Események összekötővel biztonsági eseményeket streamelhet a Microsoft Sentinel-munkaterülethez csatlakoztatott Windows Servert futtató számítógépekről, beleértve a fizikai, virtuális vagy helyszíni kiszolgálókat vagy bármely felhőt. Ez az összekötő támogatja az Azure Monitor-ügynököt, amely adatgyűjtési szabályok használatával határozza meg az egyes ügynököktől begyűjtendő adatokat.

Az adatgyűjtési szabályok lehetővé teszik a gyűjteménybeállítások nagy méretekben történő kezelését, ugyanakkor lehetővé teszik a gépek részhalmazainak egyedi, hatókörön belüli konfigurációit. További információ: Adatgyűjtés konfigurálása az Azure Monitor-ügynökhöz.

Az előre definiált eseménykészleteken kívül, amelyeket kiválaszthat a betöltéshez, például a Minden esemény, a Minimális vagy a Közös, az adatgyűjtési szabályok lehetővé teszik egyéni szűrők készítését és adott események betöltését. Az Azure Monitor-ügynök ezeket a szabályokat használva szűri az adatokat a forrásnál, majd csak a kiválasztott eseményeket veszi be, miközben minden mást hátrahagy. A betöltendő események kiválasztása segíthet a költségek optimalizálásában és további megtakarításban.

Következő lépések