Bagikan melalui

Mengurangi biaya untuk Microsoft Sentinel

  • Berlaku untuk: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Biaya untuk Microsoft Azure Sentinel hanya sebagian dari biaya bulanan di tagihan Azure Anda. Meski artikel ini menjelaskan cara mengurangi biaya untuk Microsoft Azure Sentinel, Anda akan dikenai tagihan untuk semua layanan dan sumber daya Azure yang digunakan langganan Azure Anda, termasuk layanan Mitra.

Penting

Microsoft Sentinel umumnya tersedia di portal Microsoft Defender, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.

Mulai Juli 2026, semua pelanggan yang menggunakan Microsoft Sentinel di portal Microsoft Azure akan dialihkan ke portal Defender dan hanya akan menggunakan Microsoft Sentinel di portal Defender. Mulai Juli 2025, banyak pelanggan baru secara otomatis onboarding dan dialihkan ke portal Defender.

Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Saatnya Pindah: Menghentikan portal Microsoft Azure Sentinel untuk keamanan yang lebih besar.

Mengatur atau mengubah tingkat harga

Untuk mengoptimalkan penghematan tertinggi, pantau volume pemasukan Anda untuk memastikan Anda memiliki Tingkat Komitmen yang paling selaras dengan pola volume pemasukan Anda. Pertimbangkan untuk meningkatkan atau mengurangi Tingkat Komitmen Anda agar selaras dengan perubahan volume data.

Anda dapat meningkatkan Tingkat Komitmen sewaktu-waktu, yang memulai kembali periode komitmen selama 31 hari. Namun, untuk kembali ke pay-as-you-go atau ke Tingkat Komitmen yang lebih rendah, Anda harus menunggu hingga setelah periode komitmen 31 hari selesai. Tagihan untuk Tingkatan Komitmen dikenakan setiap hari.

Untuk melihat tingkat harga Microsoft Azure Sentinel Anda saat ini, pilih Pengaturan di navigasi kiri Microsoft Azure Sentinel, kemudian pilih tab Harga. Tingkat harga Anda saat ini ditandai sebagai Tingkat saat ini.

Untuk mengubah penerapan tingkat harga Anda, pilih salah satu tingkat lain di halaman harga, lalu pilih Terapkan. Anda harus memiliki Kontributor atau Pemilik untuk ruang kerja Microsoft Azure Sentinel untuk mengubah tingkat harga.

Cuplikan layar halaman harga di pengaturan Microsoft Sentinel, dengan bayar sesuai pemakaian dipilih sebagai tingkat harga saat ini.

Untuk mempelajari selengkapnya tentang cara memantau biaya Anda, lihat Mengelola dan memantau biaya untuk Microsoft Azure Sentinel.

Untuk ruang kerja yang masih menggunakan tingkat harga klasik, tingkat harga Microsoft Azure Sentinel tidak menyertakan biaya Analitik Log. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan.

Membeli paket pra-pembelian

Hemat biaya Microsoft Sentinel saat Anda melakukan pra-pembelian unit komitmen (CUs) Microsoft Sentinel. Gunakan CUs yang telah dibeli sebelumnya kapan saja selama jangka waktu pembelian satu tahun.

Setiap biaya Microsoft Sentinel yang memenuhi syarat dikurangi terlebih dahulu dari CUs yang dibeli sebelumnya secara otomatis. Anda tidak perlu menyebarkan ulang atau menetapkan paket yang telah dibeli sebelumnya ke ruang kerja Microsoft Azure Sentinel Anda untuk penggunaan CU guna mendapatkan diskon pra-pembelian.

Untuk informasi selengkapnya, lihat Mengoptimalkan biaya Microsoft Azure Sentinel dengan paket pra-pembelian.

Memisahkan data non-keamanan di ruang kerja yang berbeda

Microsoft Sentinel menganalisis semua data yang dimasukkan ke dalam ruang kerja Log Analytics yang diaktifkan oleh Microsoft Sentinel. Yang terbaik adalah memiliki ruang kerja terpisah untuk data operasi non-keamanan, untuk memastikan tidak dikenai biaya Microsoft Azure Sentinel.

Saat berburu atau menyelidiki ancaman di Microsoft Azure Sentinel, Anda mungkin perlu mengakses data operasional yang disimpan di ruang kerja Analitik Log Azure mandiri ini. Anda bisa mengakses data ini dengan menggunakan kueri lintas ruang kerja dalam pengalaman eksplorasi log dan buku kerja. Namun, Anda tidak dapat menggunakan aturan analitik dan kueri perburuan lintas ruang kerja kecuali Microsoft Sentinel diaktifkan di semua ruang kerja.

Pilih jenis log berbiaya rendah untuk data volume tinggi dan bernilai rendah

Meskipun log analitik standar paling sesuai untuk deteksi ancaman berkelanjutan dan real-time, dua jenis log lainnya—log dasar dan log tambahan—lebih cocok untuk kueri ad-hoc dan pencarian log verbose, volume tinggi, bernilai rendah yang tidak sering diperlukan atau diakses sesuai permintaan. penyerapan data log dasar dengan biaya yang berkurang secara signifikan, atau penyerapan data log tambahan dengan biaya yang lebih rendah, untuk tabel data yang memenuhi syarat. Untuk informasi selengkapnya, lihat Harga Microsoft Azure Sentinel.

Optimalkan biaya Analitik Log dengan kluster khusus

Jika Anda menyerap setidaknya 100 GB ke ruang kerja atau ruang kerja Microsoft Azure Sentinel di wilayah yang sama, pertimbangkan untuk pindah ke kluster khusus Log Analytics untuk mengurangi biaya. Tingkat Komitmen kluster khusus Analitik Log menggabungkan volume data di seluruh ruang kerja yang secara kolektif menyerap total 100 GB atau lebih. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan untuk kluster khusus.

Anda dapat menambahkan beberapa ruang kerja Microsoft Azure Sentinel ke kluster khusus Analitik Log. Ada beberapa keuntungan menggunakan kluster khusus Analitik Log untuk Microsoft Azure Sentinel:

  • Kueri ruang lintas kerja berjalan lebih cepat jika semua ruang kerja yang terlibat dalam kueri berada di kluster khusus. Masih sebaik mungkin memiliki ruang kerja sesingkat mungkin di lingkungan Anda, dan kluster khusus masih mempertahankan batas 100 ruang kerja untuk dimasukkan dalam satu kueri lintas ruang kerja.

  • Semua ruang kerja di kluster khusus dapat berbagi Tingkat Penerapan Analitik Log yang ditetapkan pada kluster. Tidak berkomitmen pada Tingkat Komitmen Analitik Log terpisah untuk setiap ruang kerja dapat memungkinkan efisiensi dan penghematan biaya. Dengan mengaktifkan kluster khusus, Anda berkomitmen pada Tingkat Komitmen Analitik Log minimum sebesar 100 GB penyerapan per hari.

Berikut adalah beberapa pertimbangan lain untuk pindah ke kluster khusus untuk pengoptimalan biaya:

  • Jumlah maksimum kluster per wilayah dan langganan adalah dua.
  • Semua ruang kerja yang ditautkan ke kluster harus berada di wilayah yang sama.
  • Maksimum ruang kerja yang ditautkan ke kluster adalah 1000.
  • Anda dapat membatalkan tautan ruang kerja terkait dari kluster Anda. Jumlah operasi tautan pada ruang kerja tertentu dibatasi hingga dua dalam jangka waktu 30 hari.
  • Anda tidak dapat memindahkan ruang kerja yang ada ke kluster kunci terkelola pelanggan (CMK). Anda harus membuat ruang kerja di kluster.
  • Memindahkan kluster ke grup sumber daya atau langganan lain saat ini tidak didukung.
  • Tautan ruang kerja ke sebuah kluster akan gagal jika ruang kerja tersebut sudah ditautkan ke kluster lain.

Untuk informasi selengkapnya tentang kluster khusus, lihat kluster khusus Analitik Log.

Mengurangi biaya retensi data dengan retensi jangka panjang

Microsoft Sentinel menyimpan data secara default dalam bentuk interaktif selama 90 hari pertama. Untuk menyesuaikan periode retensi data di Analitik Log, pilih Penggunaan dan estimasi biaya di navigasi kiri, lalu pilih Retensi data, lalu sesuaikan penggeser.

Data keamanan Microsoft Azure Sentinel mungkin kehilangan beberapa nilainya setelah beberapa bulan. Pengguna pusat operasi keamanan (SOC) mungkin tidak perlu mengakses data yang lebih lama sesering data yang lebih baru, tetapi masih mungkin perlu mengakses data untuk investigasi sporadis atau tujuan audit.

Untuk membantu Anda mengurangi biaya retensi data Microsoft Azure Sentinel, Azure Monitor sekarang menawarkan retensi jangka panjang. Data yang berusia di luar status retensi interaktifnya masih dapat dipertahankan hingga dua belas tahun, dengan biaya yang jauh berkurang, dan dengan batasan penggunaannya. Untuk informasi selengkapnya, lihat Mengelola retensi data di ruang kerja Log Analytics.

Anda dapat mengurangi biaya lebih jauh dengan mendaftarkan tabel yang berisi data keamanan sekunder dalam rencana log Tambahan. Paket ini memungkinkan Anda menyimpan log volume tinggi bernilai rendah dengan harga terjangkau, dengan periode retensi interaktif 30 hari di awal yang biayanya lebih rendah untuk memungkinkan ringkasan dan kueri sederhana. Untuk mempelajari selengkapnya tentang paket log tambahan dan paket lainnya, lihat Rencana retensi log di Microsoft Azure Sentinel.

Menggunakan aturan pengumpulan data untuk Windows Security Events Anda

Konektor Windows Security Events connector memungkinkan Anda untuk melakukan streaming peristiwa keamanan dari komputer mana pun yang menjalankan Windows Server yang tersambung ke ruang kerja Microsoft Azure Sentinel Anda, termasuk server fisik, virtual, atau lokal, atau di cloud apa pun. Konektor ini mencakup dukungan untuk Agen Azure Monitor, yang menggunakan aturan pengumpulan data untuk menentukan data yang akan dikumpulkan dari setiap agen.

Aturan pengumpulan data memungkinkan Anda untuk mengelola pengaturan pengumpulan dalam skala besar, sementara tetap memungkinkan konfigurasi yang unik dan terarah untuk subset mesin. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan data untuk Agen Azure Monitor.

Selain untuk kumpulan set yang telah ditentukan yang dapat Anda pilih untuk diserap, seperti Semua peristiwa, Minimal, atau Umum, aturan pengumpulan data memungkinkan Anda untuk membuat filter kustom dan memilih acara tertentu untuk diserap. Agen Azure Monitor menggunakan aturan ini untuk memfilter data di sumbernya, lalu hanya memasukkan peristiwa yang Anda pilih, sambil mengabaikan sisanya. Memilih acara tertentu untuk diserap dapat membantu Anda mengoptimalkan biaya dan menghemat lebih banyak.

Langkah berikutnya