Mengurangi biaya untuk Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Biaya untuk Microsoft Azure Sentinel hanya sebagian dari biaya bulanan di tagihan Azure Anda. Meski artikel ini menjelaskan cara mengurangi biaya untuk Microsoft Azure Sentinel, Anda akan dikenai tagihan untuk semua layanan dan sumber daya Azure yang digunakan langganan Azure Anda, termasuk layanan Mitra.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mengatur atau mengubah tingkat harga

Untuk mengoptimalkan penghematan tertinggi, pantau volume penggunaan Anda untuk memastikan Anda memiliki Tingkat Penerapan yang paling selaras dengan pola volume penggunaan Anda. Pertimbangkan untuk meningkatkan atau mengurangi Tingkat Komitmen Anda agar selaras dengan perubahan volume data.

Anda dapat meningkatkan Tingkat Penerapan sewaktu-waktu, yang memulai kembali periode penerapan 31 hari. Namun, untuk kembali ke PAYG atau ke Tingkat Penerapan yang lebih rendah, Anda harus menunggu sampai setelah periode penerapan 31 hari selesai. Tagihan untuk Tingkat Penerapan dilakukan setiap hari.

Untuk melihat tingkat harga Microsoft Azure Sentinel Anda saat ini, pilih Pengaturan di navigasi kiri Microsoft Azure Sentinel, kemudian pilih tab Harga. Tingkat harga Anda saat ini ditandai sebagai Tingkat saat ini.

Untuk mengubah penerapan tingkat harga Anda, pilih salah satu tingkat lain di halaman harga, lalu pilih Terapkan. Anda harus memiliki Kontributor atau Pemilik untuk ruang kerja Microsoft Azure Sentinel untuk mengubah tingkat harga.

Untuk mempelajari selengkapnya tentang cara memantau biaya Anda, lihat Mengelola dan memantau biaya untuk Microsoft Azure Sentinel.

Untuk ruang kerja yang masih menggunakan tingkat harga klasik, tingkat harga Microsoft Azure Sentinel tidak menyertakan biaya Analitik Log. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan.

Memisahkan data non-keamanan di ruang kerja yang berbeda

Microsoft Azure Sentinel menganalisis semua data yang diserap ke ruang kerja Analitik Log berkemampuan Microsoft Azure Sentinel. Yang terbaik adalah memiliki ruang kerja terpisah untuk data operasi non-keamanan, untuk memastikan tidak dikenai biaya Microsoft Azure Sentinel.

Saat berburu atau menyelidiki ancaman di Microsoft Azure Sentinel, Anda mungkin perlu mengakses data operasional yang disimpan di ruang kerja Analitik Log Azure mandiri ini. Anda bisa mengakses data ini dengan menggunakan kueri lintas ruang kerja dalam pengalaman eksplorasi log dan buku kerja. Namun, Anda tidak dapat menggunakan aturan analitik lintas ruang kerja dan kueri perburuan kecuali Microsoft Azure Sentinel diaktifkan di semua ruang kerja.

Mengaktifkan penyerapan data log dasar untuk data yang bernilai keamanan rendah volume tinggi (pratinjau)

Tidak seperti log analitik, log dasar biasanya bertele-tele. Mereka berisi campuran data volume tinggi dan nilai keamanan rendah yang tidak sering digunakan atau diakses sesuai permintaan untuk kueri, investigasi, dan pencarian ad-hoc. Aktifkan penyerapan data log dasar dengan biaya yang berkurang secara signifikan untuk tabel data yang memenuhi syarat. Untuk informasi selengkapnya, lihat Harga Microsoft Azure Sentinel.

Optimalkan biaya Analitik Log dengan kluster khusus

Jika Anda menyerap setidaknya 500 GB ke ruang kerja Microsoft Azure Sentinel atau ruang kerja di wilayah yang sama, pertimbangkan untuk pindah ke kluster khusus Analitik Log untuk mengurangi biaya. Tingkat Penerapan kluster khusus Analitik Log menggabungkan volume data di seluruh ruang kerja yang secara kolektif menyerap total 500 GB atau lebih. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan untuk kluster khusus.

Anda dapat menambahkan beberapa ruang kerja Microsoft Azure Sentinel ke kluster khusus Analitik Log. Ada beberapa keuntungan menggunakan kluster khusus Analitik Log untuk Microsoft Azure Sentinel:

• Kueri ruang lintas kerja berjalan lebih cepat jika semua ruang kerja yang terlibat dalam kueri berada di kluster khusus. Masih sebaik mungkin memiliki ruang kerja sesingkat mungkin di lingkungan Anda, dan kluster khusus masih mempertahankan batas 100 ruang kerja untuk dimasukkan dalam satu kueri lintas ruang kerja.

• Semua ruang kerja di kluster khusus dapat berbagi Tingkat Penerapan Analitik Log yang ditetapkan pada kluster. Tidak harus menerapkan untuk memisahkan Tingkat Penerapan Analitik Log untuk setiap ruang kerja dapat memungkinkan penghematan biaya dan efisiensi. Dengan mengaktifkan kluster khusus, Anda menerapkan pada Tingkat Penerapan Analitik Log minimum sebesar 500 GB penyerapan per hari.

Berikut adalah beberapa pertimbangan lain untuk pindah ke kluster khusus untuk pengoptimalan biaya:

• Jumlah maksimum kluster per wilayah dan langganan adalah dua.
• Semua ruang kerja yang ditautkan ke kluster harus berada di wilayah yang sama.
• Maksimum ruang kerja yang ditautkan ke kluster adalah 1000.
• Anda dapat membatalkan tautan ruang kerja yang ditautkan dari kluster Anda. Jumlah operasi tautan pada ruang kerja tertentu dibatasi hingga dua dalam jangka waktu 30 hari.
• Anda tidak dapat memindahkan ruang kerja yang ada ke kluster kunci terkelola pelanggan (CMK). Anda harus membuat ruang kerja di kluster.
• Memindahkan kluster ke grup sumber daya atau langganan lain saat ini tidak didukung.
• Tautan ruang kerja ke kluster gagal jika ruang kerja ditautkan ke kluster lain.

Untuk informasi selengkapnya tentang kluster khusus, lihat kluster khusus Analitik Log.

Mengurangi biaya retensi data jangka panjang dengan Azure Data Explorer atau log yang diarsipkan (pratinjau)

Retensi data Microsoft Azure Sentinel gratis selama 90 hari pertama. Untuk menyesuaikan periode retensi data di Analitik Log, pilih Penggunaan dan estimasi biaya di navigasi kiri, lalu pilih Retensi data, lalu sesuaikan penggeser.

Data keamanan Microsoft Azure Sentinel mungkin kehilangan beberapa nilainya setelah beberapa bulan. Pengguna pusat operasi keamanan (SOC) mungkin tidak perlu mengakses data yang lebih lama sesering data yang lebih baru, tetapi masih mungkin perlu mengakses data untuk investigasi sporadis atau tujuan audit.

Untuk membantu Anda mengurangi biaya retensi data Microsoft Sentinel, Azure Monitor sekarang menawarkan log yang diarsipkan. Log yang diarsipkan menyimpan data log untuk jangka waktu yang lama, hingga tujuh tahun, dengan biaya yang lebih rendah dengan batasan penggunaannya. Log yang diarsipkan berada dalam pratinjau publik. Untuk informasi selengkapnya, lihat Mengonfigurasi retensi data dan kebijakan arsip di Azure Monitor Logs.

Jika tidak, Anda dapat menggunakan Azure Data Explorer untuk retensi data jangka panjang dengan biaya lebih rendah. Azure Data Explorer memberikan keseimbangan biaya dan kegunaan yang tepat untuk data lama yang tidak lagi memerlukan kecerdasan keamanan Microsoft Azure Sentinel.

Dengan Azure Data Explorer, Anda dapat menyimpan data dengan harga lebih murah, tetapi masih menjelajahi data menggunakan kueri Bahasa Kueri Kusto (KQL) yang sama seperti di Microsoft Azure Sentinel. Anda juga dapat menggunakan fitur proksi Azure Data Explorer untuk melakukan kueri lintas platform. Kueri ini mengagregasi dan menyambungkan data yang tersebar di Azure Data Explorer, Application Insights, Microsoft Azure Sentinel, dan Analitik Log.

Untuk informasi selengkapnya, lihat Mengintegrasikan Azure Data Explorer untuk retensi log jangka panjang.

Menggunakan aturan pengumpulan data untuk Windows Security Events Anda

Konektor Windows Security Events connector memungkinkan Anda untuk melakukan streaming peristiwa keamanan dari komputer mana pun yang menjalankan Windows Server yang tersambung ke ruang kerja Microsoft Azure Sentinel Anda, termasuk server fisik, virtual, atau lokal, atau di cloud apa pun. Konektor ini mencakup dukungan untuk agen Azure Monitor, yang menggunakan aturan pengumpulan data untuk menentukan data yang dikumpulkan dari masing-masing agen.

Aturan pengumpulan data memungkinkan mengelola pengaturan pengumpulan dalam skala besar, sambil tetap mengaktifkan konfigurasi unik dan tercakup untuk subset komputer. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan data untuk agen Azure Monitor.

Selain untuk kumpulan set yang telah ditentukan yang dapat Anda pilih untuk diserap, seperti Semua peristiwa, Minimal, atau Umum, aturan pengumpulan data memungkinkan Anda untuk membuat filter kustom dan memilih acara tertentu untuk diserap. Agen Azure Monitor menggunakan aturan ini untuk memfilter data di sumbernya, lalu hanya menyerap peristiwa yang Anda pilih, sambil meninggalkan semua yang lain di belakang. Memilih acara tertentu untuk diserap dapat membantu Anda mengoptimalkan biaya dan menghemat lebih banyak.

Langkah berikutnya

• Pelajari cara mengoptimalkan investasi cloud Anda dengan Microsoft Cost Management.
• Pelajari lebih lanjut mengelola biaya dengan analisis biaya.
• Pelajari cara mencegah biaya tak terduga.
• Ikuti kursus pembelajaran terpandu Cost Management.
• Untuk tips lainnya tentang mengurangi volume data Analitik Log, lihat praktik terbaik Azure Monitor - Manajemen biaya.