Mengurangi biaya untuk Microsoft Sentinel
Biaya untuk Microsoft Azure Sentinel hanya sebagian dari biaya bulanan di tagihan Azure Anda. Meski artikel ini menjelaskan cara mengurangi biaya untuk Microsoft Azure Sentinel, Anda akan dikenai tagihan untuk semua layanan dan sumber daya Azure yang digunakan langganan Azure Anda, termasuk layanan Mitra.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Mengatur atau mengubah tingkat harga
Untuk mengoptimalkan penghematan tertinggi, pantau volume penggunaan Anda untuk memastikan Anda memiliki Tingkat Penerapan yang paling selaras dengan pola volume penggunaan Anda. Pertimbangkan untuk meningkatkan atau mengurangi Tingkat Komitmen Anda agar selaras dengan perubahan volume data.
Anda dapat meningkatkan Tingkat Penerapan sewaktu-waktu, yang memulai kembali periode penerapan 31 hari. Namun, untuk kembali ke PAYG atau ke Tingkat Penerapan yang lebih rendah, Anda harus menunggu sampai setelah periode penerapan 31 hari selesai. Tagihan untuk Tingkat Penerapan dilakukan setiap hari.
Untuk melihat tingkat harga Microsoft Azure Sentinel Anda saat ini, pilih Pengaturan di navigasi kiri Microsoft Azure Sentinel, kemudian pilih tab Harga. Tingkat harga Anda saat ini ditandai sebagai Tingkat saat ini.
Untuk mengubah penerapan tingkat harga Anda, pilih salah satu tingkat lain di halaman harga, lalu pilih Terapkan. Anda harus memiliki Kontributor atau Pemilik untuk ruang kerja Microsoft Azure Sentinel untuk mengubah tingkat harga.
Untuk mempelajari selengkapnya tentang cara memantau biaya Anda, lihat Mengelola dan memantau biaya untuk Microsoft Azure Sentinel.
Untuk ruang kerja yang masih menggunakan tingkat harga klasik, tingkat harga Microsoft Azure Sentinel tidak menyertakan biaya Analitik Log. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan.
Membeli paket pra-pembelian
Hemat biaya Microsoft Azure Sentinel saat Anda melakukan pra-pembelian unit penerapan (CUs) Microsoft Azure Sentinel. Gunakan CUs yang telah dibeli sebelumnya kapan saja selama jangka waktu pembelian satu tahun.
Setiap biaya Microsoft Azure Sentinel yang memenuhi syarat dikurangi terlebih dahulu dari CUs yang telah dibeli sebelumnya secara otomatis. Anda tidak perlu menyebarkan ulang atau menetapkan paket yang telah dibeli sebelumnya ke ruang kerja Microsoft Azure Sentinel Anda untuk penggunaan CU guna mendapatkan diskon pra-pembelian.
Untuk informasi selengkapnya, lihat Mengoptimalkan biaya Microsoft Azure Sentinel dengan paket pra-pembelian.
Memisahkan data non-keamanan di ruang kerja yang berbeda
Microsoft Azure Sentinel menganalisis semua data yang diserap ke ruang kerja Analitik Log berkemampuan Microsoft Azure Sentinel. Yang terbaik adalah memiliki ruang kerja terpisah untuk data operasi non-keamanan, untuk memastikan tidak dikenai biaya Microsoft Azure Sentinel.
Saat berburu atau menyelidiki ancaman di Microsoft Azure Sentinel, Anda mungkin perlu mengakses data operasional yang disimpan di ruang kerja Analitik Log Azure mandiri ini. Anda bisa mengakses data ini dengan menggunakan kueri lintas ruang kerja dalam pengalaman eksplorasi log dan buku kerja. Namun, Anda tidak dapat menggunakan aturan analitik lintas ruang kerja dan kueri perburuan kecuali Microsoft Azure Sentinel diaktifkan di semua ruang kerja.
Pilih jenis log bernilai rendah untuk data volume tinggi dan bernilai rendah
Meskipun log analitik standar paling sesuai untuk deteksi ancaman berkelanjutan dan real-time, dua jenis log lainnya—log dasar dan log tambahan—lebih cocok untuk kueri ad-hoc dan pencarian log verbose, volume tinggi, bernilai rendah yang tidak sering diperlukan atau diakses sesuai permintaan. Aktifkan penyerapan data log dasar dengan biaya yang berkurang secara signifikan, atau penyerapan data log tambahan (sekarang dalam Pratinjau) dengan biaya yang lebih rendah, untuk tabel data yang memenuhi syarat. Untuk informasi selengkapnya, lihat Harga Microsoft Azure Sentinel.
- Rencana retensi log di Microsoft Azure Sentinel
- Sumber log yang akan digunakan untuk penyerapan Log Tambahan
Optimalkan biaya Analitik Log dengan kluster khusus
Jika Anda menyerap setidaknya 100 GB ke ruang kerja atau ruang kerja Microsoft Azure Sentinel di wilayah yang sama, pertimbangkan untuk pindah ke kluster khusus Log Analytics untuk mengurangi biaya. Tingkat Komitmen kluster khusus Analitik Log menggabungkan volume data di seluruh ruang kerja yang secara kolektif menyerap total 100 GB atau lebih. Untuk informasi selengkapnya, lihat Tingkat harga yang disederhanakan untuk kluster khusus.
Anda dapat menambahkan beberapa ruang kerja Microsoft Azure Sentinel ke kluster khusus Analitik Log. Ada beberapa keuntungan menggunakan kluster khusus Analitik Log untuk Microsoft Azure Sentinel:
Kueri ruang lintas kerja berjalan lebih cepat jika semua ruang kerja yang terlibat dalam kueri berada di kluster khusus. Masih sebaik mungkin memiliki ruang kerja sesingkat mungkin di lingkungan Anda, dan kluster khusus masih mempertahankan batas 100 ruang kerja untuk dimasukkan dalam satu kueri lintas ruang kerja.
Semua ruang kerja di kluster khusus dapat berbagi Tingkat Penerapan Analitik Log yang ditetapkan pada kluster. Tidak harus menerapkan untuk memisahkan Tingkat Penerapan Analitik Log untuk setiap ruang kerja dapat memungkinkan penghematan biaya dan efisiensi. Dengan mengaktifkan kluster khusus, Anda berkomitmen pada Tingkat Komitmen Analitik Log minimum sebesar 100 GB penyerapan per hari.
Berikut adalah beberapa pertimbangan lain untuk pindah ke kluster khusus untuk pengoptimalan biaya:
- Jumlah maksimum kluster per wilayah dan langganan adalah dua.
- Semua ruang kerja yang ditautkan ke kluster harus berada di wilayah yang sama.
- Maksimum ruang kerja yang ditautkan ke kluster adalah 1000.
- Anda dapat membatalkan tautan ruang kerja yang ditautkan dari kluster Anda. Jumlah operasi tautan pada ruang kerja tertentu dibatasi hingga dua dalam jangka waktu 30 hari.
- Anda tidak dapat memindahkan ruang kerja yang ada ke kluster kunci terkelola pelanggan (CMK). Anda harus membuat ruang kerja di kluster.
- Memindahkan kluster ke grup sumber daya atau langganan lain saat ini tidak didukung.
- Tautan ruang kerja ke kluster gagal jika ruang kerja ditautkan ke kluster lain.
Untuk informasi selengkapnya tentang kluster khusus, lihat kluster khusus Analitik Log.
Mengurangi biaya retensi data dengan retensi jangka panjang
Microsoft Sentinel menyimpan data secara default dalam bentuk interaktif selama 90 hari pertama. Untuk menyesuaikan periode retensi data di Analitik Log, pilih Penggunaan dan estimasi biaya di navigasi kiri, lalu pilih Retensi data, lalu sesuaikan penggeser.
Data keamanan Microsoft Azure Sentinel mungkin kehilangan beberapa nilainya setelah beberapa bulan. Pengguna pusat operasi keamanan (SOC) mungkin tidak perlu mengakses data yang lebih lama sesering data yang lebih baru, tetapi masih mungkin perlu mengakses data untuk investigasi sporadis atau tujuan audit.
Untuk membantu Anda mengurangi biaya retensi data Microsoft Azure Sentinel, Azure Monitor sekarang menawarkan retensi jangka panjang. Data yang berusia di luar status retensi interaktifnya masih dapat dipertahankan hingga dua belas tahun, dengan biaya yang jauh berkurang, dan dengan batasan penggunaannya. Untuk informasi selengkapnya, lihat Mengelola retensi data di ruang kerja Analitik Log.
Anda dapat mengurangi biaya lebih jauh dengan mendaftarkan tabel yang berisi data keamanan sekunder dalam rencana log Tambahan (sekarang dalam Pratinjau). Paket ini memungkinkan Anda untuk menyimpan log volume tinggi bernilai rendah dengan harga rendah, dengan periode retensi interaktif 30 hari yang lebih rendah di awal untuk memungkinkan ringkasan dan kueri dasar. Untuk mempelajari selengkapnya tentang paket log tambahan dan paket lainnya, lihat Rencana retensi log di Microsoft Azure Sentinel. Meskipun paket log tambahan tetap dalam Pratinjau, Anda juga memiliki opsi untuk mendaftarkan tabel ini dalam paket Log dasar. Log dasar menawarkan fungsionalitas serupa dengan log tambahan, tetapi dengan penghematan biaya yang lebih sedikit.
Menggunakan aturan pengumpulan data untuk Windows Security Events Anda
Konektor Windows Security Events connector memungkinkan Anda untuk melakukan streaming peristiwa keamanan dari komputer mana pun yang menjalankan Windows Server yang tersambung ke ruang kerja Microsoft Azure Sentinel Anda, termasuk server fisik, virtual, atau lokal, atau di cloud apa pun. Konektor ini mencakup dukungan untuk Agen Azure Monitor, yang menggunakan aturan pengumpulan data untuk menentukan data yang akan dikumpulkan dari setiap agen.
Aturan pengumpulan data memungkinkan mengelola pengaturan pengumpulan dalam skala besar, sambil tetap mengaktifkan konfigurasi unik dan tercakup untuk subset komputer. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan data untuk Agen Azure Monitor.
Selain untuk kumpulan set yang telah ditentukan yang dapat Anda pilih untuk diserap, seperti Semua peristiwa, Minimal, atau Umum, aturan pengumpulan data memungkinkan Anda untuk membuat filter kustom dan memilih acara tertentu untuk diserap. Agen Azure Monitor menggunakan aturan ini untuk memfilter data di sumbernya, lalu hanya menyerap peristiwa yang Anda pilih, sambil meninggalkan semua yang lain di belakang. Memilih acara tertentu untuk diserap dapat membantu Anda mengoptimalkan biaya dan menghemat lebih banyak.
Langkah berikutnya
- Pelajari cara mengoptimalkan investasi cloud Anda dengan Microsoft Cost Management.
- Pelajari lebih lanjut mengelola biaya dengan analisis biaya.
- Pelajari cara mencegah biaya tak terduga.
- Ikuti kursus pembelajaran terpandu Cost Management.
- Untuk tips lainnya tentang mengurangi volume data Analitik Log, lihat praktik terbaik Azure Monitor - Manajemen biaya.