Memperkirakan biaya dengan kalkulator biaya Microsoft Defender untuk Cloud

Kalkulator biaya Microsoft Defender untuk Cloud adalah alat yang berguna untuk memperkirakan potensi biaya yang terkait dengan kebutuhan keamanan cloud Anda. Ini memungkinkan Anda untuk mengonfigurasi paket dan lingkungan yang berbeda, memberikan perincian biaya terperinci, termasuk diskon yang berlaku.

Mengakses kalkulator biaya

Untuk menggunakan Defender for Cloud Cost Calculator, buka bagian Pengaturan Lingkungan microsoft Defender for Cloud. Pilih tombol Kalkulator Biaya yang terletak di bagian atas antarmuka.

Cuplikan layar tombol kalkulator biaya di Pengaturan Lingkungan.

Mengonfigurasi paket dan lingkungan Defender untuk Cloud

Pada halaman pertama kalkulator, pilih tombol Tambahkan Aset untuk mulai menambahkan aset ke perhitungan biaya Anda. Anda memiliki tiga metode untuk menambahkan aset:

  • Menambahkan aset dari lingkungan onboarding: Disarankan - Tambahkan aset dari lingkungan yang sudah di-onboarding ke Defender for Cloud. Metode ini mencakup semua paket untuk Azure dan berfungsi lebih cepat daripada opsi skrip.
  • Menambahkan aset dengan skrip: Unduh dan jalankan skrip untuk menambahkan aset yang ada secara otomatis. Direkomendasikan untuk lingkungan (seperti proyek AWS atau GCP) yang belum di-onboard ke Azure.
  • Menambahkan aset kustom: Tambahkan aset secara manual tanpa menggunakan otomatisasi.

Cuplikan layar cara menambahkan aset dalam kalkulator biaya.

Catatan

Kalkulator biaya tidak mempertimbangkan paket reservasi untuk Defender for Cloud.

Menambahkan aset dari lingkungan onboarding

Tip

Metode ini direkomendasikan untuk lingkungan Azure karena mencakup semua paket dan memberikan hasil yang lebih cepat daripada menggunakan skrip.

  1. Pilih dari daftar lingkungan Azure yang sudah di-onboard ke Defender untuk Cloud untuk disertakan dalam perhitungan biaya.

    Catatan

    Kalkulator menemukan sumber daya yang izinnya Anda miliki.

  2. Pilih paket. Kalkulator memperkirakan biaya berdasarkan pilihan Anda dan diskon yang ada.

Cuplikan layar cara menetapkan aset onboarding.

Menambahkan aset dengan skrip

Catatan

Metode ini direkomendasikan untuk lingkungan yang belum di-onboard ke Azure, seperti proyek AWS atau GCP.

  1. Pilih jenis lingkungan (Azure, AWS, atau GCP) dan salin skrip ke file *.ps1 baru.

    Catatan

    Skrip hanya mengumpulkan informasi yang dapat diakses pengguna yang menjalankannya.

  2. Jalankan skrip di lingkungan PowerShell 7.X Anda dengan menggunakan akun pengguna istimewa. Skrip mengumpulkan informasi tentang aset yang dapat ditagih dan membuat file CSV. Ini mengumpulkan informasi dalam dua langkah. Pertama, ia mengumpulkan jumlah aset yang dapat ditagih saat ini yang biasanya tetap konstan. Kedua, ia mengumpulkan informasi tentang aset yang dapat ditagih yang dapat banyak berubah selama bulan tersebut. Untuk aset ini, aset ini memeriksa penggunaan selama 30 hari terakhir untuk mengevaluasi biaya. Anda dapat menghentikan skrip setelah langkah pertama, yang membutuhkan waktu beberapa detik. Atau Anda dapat terus mengumpulkan penggunaan 30 hari terakhir untuk aset dinamis, yang mungkin memakan waktu lebih lama untuk akun besar.

  3. Unggah file CSV ini ke wizard tempat Anda mengunduh skrip.

  4. Pilih paket Defender untuk Cloud yang diinginkan. Kalkulator memperkirakan biaya berdasarkan pilihan Anda dan diskon yang ada.

Catatan

  • Paket reservasi untuk Defender untuk Cloud tidak dipertimbangkan.
  • Untuk Defender untuk API: Saat menghitung biaya berdasarkan jumlah panggilan API dalam 30 hari terakhir, kami secara otomatis memilih paket Defender for API terbaik untuk Anda. Jika tidak ada panggilan API dalam 30 hari terakhir, kami secara otomatis menonaktifkan paket untuk tujuan penghitungan.

Cuplikan layar cara menambahkan aset dengan skrip.

Izin yang diperlukan untuk skrip

Bagian ini memberikan gambaran umum tentang izin yang diperlukan untuk menjalankan skrip untuk setiap penyedia cloud.

Azure

Untuk menjalankan skrip ini dengan sukses untuk setiap langganan, akun yang Anda gunakan memerlukan izin yang memungkinkannya untuk:

  • Temukan dan daftar sumber daya (termasuk komputer virtual, akun penyimpanan, layanan APIM, akun Cosmos DB, dan sumber daya lainnya).

  • Query Resource Graph (melalui Search-AzGraph).

  • Baca Metrik (melalui Get-AzMetric dan API Azure Monitor/Insights).

Peran bawaan yang direkomendasikan:

Dalam kebanyakan kasus, peran Pembaca di cakupan langganan sudah cukup. Peran Pembaca menyediakan kemampuan utama berikut yang diperlukan oleh skrip ini:

  • Baca semua jenis sumber daya (sehingga Anda dapat mencantumkan dan mengurai hal-hal seperti Akun Penyimpanan, VM, Cosmos DB, dan APIM, dll.).
  • Baca metrik (Microsoft.Insights/metrics/read) sehingga panggilan ke get-AzMetric atau kueri REST Azure Monitor langsung berhasil.
  • Kueri Resource Graph berfungsi selama Anda memiliki setidaknya akses baca ke sumber daya tersebut dalam langganan.

Catatan

Jika Anda ingin yakin bahwa Anda memiliki izin metrik yang diperlukan, Anda juga dapat menggunakan peran Pembaca Pemantauan; namun, peran Pembaca standar sudah mencakup akses baca ke metrik dan biasanya yang Anda butuhkan.

Jika Anda sudah memiliki peran Kontributor atau Pemilik:

  • Kontributor atau Pemilik pada langganan lebih dari cukup (peran ini lebih tinggi hak istimewanya daripada Pembaca).
  • Skrip tidak melakukan pembuatan atau penghapusan sumber daya. Oleh karena itu, memberikan peran tingkat tinggi (seperti Kontributor/Pemilik) untuk tujuan tunggal pengumpulan data mungkin berlebihan dari perspektif hak istimewa paling sedikit.

Ringkasan:

Memberi pengguna atau perwakilan layanan Anda peran Pembaca (atau peran dengan hak istimewa yang lebih tinggi) pada setiap langganan yang ingin Anda kueri memastikan skrip dapat:

  • Ambil daftar langganan.
  • Menghitung dan membaca semua informasi sumber daya yang relevan (melalui REST atau Az PowerShell).
  • Ambil metrik yang diperlukan (Permintaan APIM, konsumsi RU untuk Cosmos DB, ingress Akun Penyimpanan, dll.).
  • Jalankan kueri Resource Graph tanpa masalah.
AWS

Skrip AWS mendukung dua alur penemuan:

  • Penemuan akun tunggal - Menemukan sumber daya dalam satu akun AWS
  • Penemuan organisasi - Menemukan sumber daya di semua akun anggota di ORGANISASI AWS
Penemuan akun tunggal

Untuk penemuan akun tunggal, gambaran umum berikut menjelaskan izin yang diperlukan identitas AWS Anda (pengguna atau peran) untuk menjalankan skrip ini dengan sukses. Skrip menghitung sumber daya (EC2, RDS, EKS, S3, dan lainnya) dan mengambil metadata untuk sumber daya tersebut. Ini tidak membuat, memodifikasi, atau menghapus sumber daya, sehingga akses baca-saja cukup dalam banyak kasus.

Kebijakan terkelola AWS: ReadOnlyAccess atau ViewOnlyAccess:

Pendekatan paling sederhana adalah melampirkan salah satu kebijakan baca-saja bawaan AWS ke prinsipal IAM (pengguna atau peran) yang menjalankan skrip ini. Contohnya meliputi:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Salah satu kebijakan ini mencakup izin penjelasan dan daftar untuk sebagian besar layanan AWS. Jika kebijakan keamanan lingkungan Anda memungkinkannya, ReadOnlyAccess adalah cara term mudah untuk memastikan skrip berfungsi di semua sumber daya AWS yang dihitungnya.

Layanan utama dan izin yang diperlukan:

Jika Anda memerlukan pendekatan yang lebih terperinci dengan kebijakan IAM kustom , layanan dan izin berikut diperlukan:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (untuk mengambil info vCPU/core)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Penskalaan Otomatis (untuk instans yang mendasar grup simpul EKS)
    • autoscaling:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (untuk mengambil ID Akun AWS)

Selain itu, jika Anda perlu mencantumkan sumber daya lain yang tidak ditampilkan dalam skrip atau jika Anda berencana untuk memperluas kemampuan skrip, pastikan Anda memberikan tindakan Describe*, List*, dan Get* yang sesuai kebutuhan.

Penemuan organisasi

Untuk penemuan di seluruh organisasi, Anda memerlukan:

  • Di akun manajemen: Izin untuk mencantumkan semua akun di organisasi

    • organizations:ListAccounts

  • Di semua akun anggota: Peran dengan izin yang sama seperti yang dijelaskan untuk penemuan akun tunggal (ReadOnlyAccess atau izin kustom yang tercantum di atas)

Menyiapkan penemuan organisasi:

  1. Membuat peran IAM di setiap akun anggota dengan izin baca yang diperlukan (seperti yang dijelaskan dalam penemuan akun tunggal)
  2. Mengonfigurasi peran untuk mempercayai prinsipal yang menjalankan skrip penemuan
  3. Pastikan prinsipal yang menjalankan skrip memiliki:
    • Izin untuk mengasumsikan peran di setiap akun anggota
    • Izin organizations:ListAccounts di akun manajemen

Catatan

Alur penemuan organisasi secara otomatis melakukan iterasi melalui semua akun anggota tempat peran yang dikonfigurasi dapat diakses.

Ringkasan:

  • Pendekatan paling sederhana adalah melampirkan kebijakan ReadOnlyAccess bawaan AWS, yang sudah mencakup semua tindakan yang diperlukan untuk mencantumkan dan menjelaskan sumber daya EC2, RDS, EKS, S3, Auto Scaling, dan memanggil STS untuk mendapatkan info akun Anda.
  • Untuk memberikan hak istimewa yang cukup, buat kebijakan baca-saja kustom dengan tindakan Describe*, List*, dan Get* di atas untuk EC2, RDS, EKS, Auto Scaling, S3, dan STS.

Salah satu pendekatan memberi skrip Anda izin yang memadai untuk:

  • Mencantumkan wilayah.
  • Ambil metadata instans EC2.
  • Ambil instans RDS.
  • Mencantumkan dan menjelaskan kluster EKS dan grup simpul (dan grup Auto Scaling yang mendasar).
  • Cantumkan wadah S3.
  • Dapatkan ID akun AWS Anda melalui STS.

Set izin ini memastikan skrip dapat menemukan sumber daya dan mengambil metadata yang relevan tanpa membuat, memodifikasi, atau menghapus apa pun.

GCP

Gambaran umum berikut menjelaskan izin yang dibutuhkan pengguna atau akun layanan GCP Anda untuk berhasil menjalankan skrip ini. Anda dapat menggunakan skrip untuk menemukan sumber daya dalam satu proyek atau di beberapa proyek, tergantung pada pilihan Anda. Untuk memperkirakan biaya untuk beberapa proyek, pastikan akun Anda memiliki izin yang diperlukan di setiap proyek yang ingin Anda sertakan. Skrip mencantumkan dan menjelaskan sumber daya seperti instans VM, database Cloud SQL, kluster GKE, dan wadah GCS di semua proyek yang dipilih.

Pendekatan paling sederhana untuk memastikan akses baca-saja di semua sumber daya ini memberi pengguna atau akun layanan Anda peran/penampil peran di tingkat proyek (proyek yang sama dengan yang Anda pilih melalui gcloud config set project).

Peran peran/penampil mencakup akses baca-saja ke sebagian besar layanan GCP dalam proyek tersebut, termasuk izin yang diperlukan untuk:

  • Mesin Komputasi (mencantumkan instans VM, templat instans, jenis mesin, dan lainnya).
  • Cloud SQL (mencantumkan instans SQL).
  • Kubernetes Engine (mencantumkan kluster, kumpulan simpul, dan banyak lagi).
  • Cloud Storage (daftar wadah).

Izin terperinci menurut layanan (jika membuat peran kustom):

Jika Anda lebih suka pendekatan yang lebih terperinci, buat peran IAM kustom atau serangkaian peran yang secara kolektif memberikan hanya tindakan baca-daftar-jelas yang diperlukan untuk setiap layanan:

  • Mesin Komputasi (untuk Instans VM, Wilayah, Templat Instans, Manajer Grup Instans):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • container.clusters.list
    • container.clusters.get (diperlukan saat menjelaskan kluster)
    • container.nodePools.list
    • container.nodePools.get
  • Penyimpanan Cloud:
    • storage.buckets.list

Skrip tidak membuat atau memodifikasi sumber daya apa pun, sehingga tidak memerlukan izin pembaruan atau penghapusan—hanya mencantumkan, mendapatkan, atau menjelaskan izin jenis.

Ringkasan:

  • Menggunakan peran/penampil di tingkat proyek adalah cara tercepat dan paling mudah untuk memberikan izin yang cukup agar skrip ini berhasil.
  • Untuk pendekatan hak istimewa paling sedikit yang ketat, buat atau gabungkan peran kustom yang hanya menyertakan daftar yang relevan, jelaskan, dan dapatkan tindakan untuk Compute Engine, Cloud SQL, GKE, dan Cloud Storage.

Dengan izin ini, skrip dapat:

  • Autentikasi (gcloud auth login).
  • Daftar Instans VM, jenis mesin, manajer grup instans, dan sumber daya serupa.
  • Mencantumkan instans Cloud SQL.
  • Mencantumkan dan menjelaskan kluster GKE dan kumpulan simpul.
  • Cantumkan wadah GCS.

Akses tingkat baca ini memungkinkan Anda menghitung jumlah sumber daya dan mengumpulkan metadata tanpa memodifikasi atau membuat sumber daya apa pun.

Menetapkan aset onboarding

  1. Pilih dari daftar lingkungan Azure yang sudah di-onboard ke Defender untuk Cloud untuk disertakan dalam perhitungan biaya.

    Catatan

    Kalkulator menemukan sumber daya yang izinnya Anda miliki.

  2. Pilih paket. Kalkulator memperkirakan biaya berdasarkan pilihan Anda dan diskon yang ada.

Cuplikan layar cara menetapkan aset onboarding.

Menetapkan aset kustom

  1. Pilih nama untuk lingkungan kustom.
  2. Tentukan paket dan jumlah aset yang dapat ditagih untuk setiap paket.
  3. Pilih jenis aset yang ingin Anda sertakan dalam perhitungan biaya.
  4. Kalkulator memperkirakan biaya berdasarkan input Anda dan diskon yang ada.

Catatan

Kalkulator tidak mempertimbangkan rencana reservasi untuk Defender for Cloud.

Cuplikan layar cara menambahkan lingkungan kustom.

Menyesuaikan laporan Anda

Setelah membuat laporan, Anda dapat menyesuaikan paket dan jumlah aset yang dapat ditagih:

  1. Pilih lingkungan yang ingin Anda ubah dengan memilih ikon edit (pensil).
  2. Halaman konfigurasi muncul, tempat Anda dapat menyesuaikan paket, jumlah aset yang dapat ditagih, dan jam bulanan rata-rata.
  3. Pilih Hitung ulang untuk memperbarui perkiraan biaya.

Mengekspor laporan

Ketika Anda puas dengan laporan, Anda dapat mengekspornya sebagai file CSV:

  1. Pilih Ekspor ke CSV di bagian bawah panel Ringkasan di sebelah kanan.
  2. Informasi biaya diunduh sebagai file CSV.

Tanya jawab umum

Berapa kalkulator biayanya?

Kalkulator biaya adalah alat yang menyederhanakan estimasi biaya untuk kebutuhan perlindungan keamanan Anda. Saat Anda menentukan cakupan paket dan lingkungan yang Anda inginkan, kalkulator memberikan perincian terperinci tentang potensi pengeluaran, termasuk diskon yang berlaku.

Bagaimana cara kerja kalkulator biaya?

Anda memilih lingkungan dan paket yang ingin Anda aktifkan. Kalkulator kemudian melakukan proses penemuan untuk secara otomatis mengisi jumlah unit yang dapat ditagih untuk setiap paket per lingkungan. Anda juga dapat menyesuaikan jumlah unit dan tingkat diskon secara manual.

Apa proses penemuannya?

Proses penemuan menghasilkan laporan lingkungan yang dipilih, termasuk inventarit aset yang dapat ditagih oleh berbagai paket Defender untuk Cloud. Proses ini bergantung pada izin pengguna dan status lingkungan pada saat penemuan. Untuk lingkungan besar, proses ini mungkin memakan waktu sekitar 30 hingga 60 menit karena juga mengambil sampel aset dinamis.

Apakah saya perlu memberikan izin khusus bagi kalkulator biaya untuk melakukan proses penemuan?

Kalkulator biaya menggunakan izin yang ada untuk menjalankan skrip dan melakukan penemuan secara otomatis. Ini mengumpulkan data yang diperlukan tanpa memerlukan hak akses lebih lanjut. Untuk melihat izin apa yang Anda butuhkan untuk menjalankan skrip, lihat bagian Izin yang diperlukan untuk skrip .

Apakah estimasi memprediksi biaya saya secara akurat?

Kalkulator memberikan perkiraan berdasarkan informasi yang tersedia saat skrip berjalan. Berbagai faktor mungkin memengaruhi biaya akhir, jadi Anda harus menganggapnya sebagai perkiraan perhitungan.

Apa saja unit yang dapat ditagih?

Biaya rencana didasarkan pada unit yang mereka lindungi. Setiap paket dikenakan biaya untuk jenis unit yang berbeda, yang dapat Anda temukan di halaman pengaturan Lingkungan Pertahanan Microsoft untuk Cloud.

Dapatkah saya menyesuaikan perkiraan secara manual?

Ya, kalkulator biaya mendukung pengumpulan data otomatis dan penyesuaian manual. Anda dapat memodifikasi kuantitas unit dan tingkat diskon untuk mencerminkan kebutuhan spesifik Anda dengan lebih baik dan melihat bagaimana perubahan ini memengaruhi biaya keseluruhan Anda.

Apakah kalkulator mendukung beberapa penyedia cloud?

Ya, ini menawarkan dukungan multicloud, memastikan bahwa Anda dapat memperoleh estimasi biaya yang akurat terlepas dari penyedia cloud Anda.

Bagaimana cara berbagi perkiraan biaya saya?

Setelah menghasilkan perkiraan biaya, Anda dapat dengan mudah mengekspor dan membagikannya untuk perencanaan dan persetujuan anggaran. Fitur ini memastikan bahwa semua pemangku kepentingan memiliki akses ke informasi yang diperlukan.

Di mana saya bisa mendapatkan bantuan jika saya memiliki pertanyaan?

Tim dukungan kami siap membantu Anda dengan pertanyaan atau kekhawatiran apa pun yang mungkin Anda miliki. Jangan ragu untuk menghubungi kami untuk bantuan.

Bagaimana cara mencoba kalkulator biaya?

Coba kalkulator biaya baru dan lihat manfaatnya. Akses alat dan mulai tentukan cakupan kebutuhan perlindungan Anda. Untuk menggunakan Defender for Cloud Cost Calculator, buka pengaturan Microsoft Defender for Cloud Environment dan pilih tombol Kalkulator Biaya .

Konten terkait

  • Last updated on