Gestire e monitorare i costi per Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dopo aver iniziato a utilizzare le risorse di Microsoft Sentinel, usare le funzionalità di Gestione dei costi per impostare i budget e monitorare i costi. È inoltre possibile esaminare i costi previsti e identificare le tendenze di spesa per individuare le aree in cui si potrebbe agire.

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come gestire e monitorare i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per visualizzare i dati sui costi ed eseguire l'analisi dei costi in Gestione dei costi, è necessario disporre di un tipo di account Azure supportato, con almeno l'accesso in lettura.

L'analisi dei costi in Gestione dei costi supporta la maggior parte dei tipi di account di Azure, ma non tutti. Per visualizzare l'elenco completo dei tipi di account supportati, vedere Informazioni sui dati di Gestione costi.

Per informazioni sull'assegnazione dell'accesso ai dati di Gestione costi Microsoft, vedere Assegnare l'accesso ai dati.

Visualizzare i costi usando l'analisi dei costi

Quando si usano le risorse di Azure con Microsoft Sentinel, sono applicati dei costi. I costi unitari dell'utilizzo di risorse di Azure variano in base agli intervalli di tempo, come secondi, minuti, ore e giorni, o in base all'utilizzo per unità, come byte, megabyte e così via. Non appena Microsoft Sentinel inizia ad analizzare i dati fatturabili, sono applicati dei costi. Visualizzare questi costi usando l'analisi dei costi nel portale di Azure. Per altre informazioni, vedere Iniziare a usare l'analisi dei costi.

Quando si usa l'analisi dei costi, i costi di Microsoft Sentinel vengono visualizzati in grafici e tabelle per intervalli di tempo diversi. Ad esempio, per giorno, mese corrente/ precedente e anno. È possibile visualizzare i costi anche in base ai budget e ai costi previsti. Passare a visualizzazioni con intervalli di tempo più lunghi consente di identificare le tendenze di spesa. E di individuare dove si sono verificate spese eccessive. Se sono stati creati budget, è possibile individuare facilmente anche dove vengono superati.

L'hub Gestione dei costi e fatturazione Microsoft offre funzionalità utili. Dopo aver aperto Gestione dei costi e fatturazione nel portale di Azure, selezionare Gestione dei costi nel riquadro di spostamento a sinistra, quindi selezionare l'ambito o il set di risorse da analizzare, ad esempio un gruppo di risorse o una sottoscrizione di Azure.

La schermata Analisi dei costi mostra visualizzazioni dettagliate dell'utilizzo e dei costi di Azure, con l'opzione per applicare vari controlli e filtri.

Ad esempio, per visualizzare grafici dei costi giornalieri per un determinato intervallo di tempo:

1. Selezionare il cursore a discesa nel campo Visualizza e selezionare Costi accumulati o Costi giornalieri.

2. Selezionare il cursore a discesa nel campo della data e selezionare un intervallo di date.

3. Selezionare il cursore a discesa accanto a Granularità e selezionare Giornaliero.

   I costi illustrati nell'immagine seguente sono solo a scopo esemplificativo. Non sono destinati a riflettere i costi effettivi.

   

È anche possibile applicare ulteriori controlli. Ad esempio, per visualizzare solo i costi associati a Microsoft Sentinel, selezionare Aggiungi filtro, selezionare Nome servizio,e quindi selezionare i nomi dei servizi Sentinel, Log Analyticse Monitoraggio di Azure.

I volumi di inserimento dati di Microsoft Sentinel vengono visualizzati in Informazioni dettagliate sulla sicurezza in alcuni grafici di utilizzo del portale.

I piani tariffari classici di Microsoft Sentinel non includono gli addebiti di Log Analytics, quindi è possibile che tali addebiti vengano fatturati separatamente. I prezzi semplificati di Microsoft Sentinel combinano i due costi in un unico set di livelli. Per altre informazioni sui piani tariffari semplificati di Microsoft Sentinel, vedere Piani tariffari semplificati.

Per altre informazioni sulla riduzione dei costi, vedere Creare budget e Ridurre i costi in Microsoft Sentinel.

Uso del pagamento anticipato di Azure con Microsoft Sentinel

È possibile pagare gli addebiti di Microsoft Sentinel con il credito di pagamento anticipato di Azure. Tuttavia, non è possibile usare il credito di pagamento anticipato di Azure per pagare le fatture alle organizzazioni non Microsoft per i prodotti e i servizi o per i prodotti di Azure Marketplace.

Eseguire query per comprendere l'inserimento dati

Microsoft Sentinel usa un linguaggio di query completo per analizzare, interagire e ricavare informazioni dettagliate da enormi volumi di dati operativi in pochi secondi. Ecco alcune query Kusto che è possibile usare per comprendere il volume di inserimento dati.

Eseguire la query seguente per visualizzare il volume di inserimento dati in base alla soluzione:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati in base al tipo di dati:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati sia in base alla soluzione che al tipo di dati:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Distribuire una cartella di lavoro per visualizzare l'inserimento dati

La cartella di lavoro del report sull'utilizzo della cartella di lavoro fornisce le statistiche sul consumo dei dati, sui costi e sull'utilizzo dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento e i costi dei dati e per creare visualizzazioni personalizzate e avvisi basati su regole.

Questa cartella di lavoro fornisce anche dettagli granulari sull'inserimento. La cartella di lavoro suddivide i dati nell'area di lavoro in base alla tabella dati e fornisce volumi per tabella e immissione per facilitare la comprensione dei modelli di inserimento.

Per abilitare la cartella di lavoro del report di utilizzo dell'area di lavoro:

1. Nel riquadro di spostamento di sinistra di Microsoft Sentinel, selezionare Gestione delle minacce>Cartelle di lavoro.
2. Immettere l'utilizzo dell'area di lavoro nella barra di ricerca, quindi selezionare Report sull'utilizzo dell'area di lavoro.
3. Selezionare Visualizza modello per usare la cartella di lavoro così com'è oppure selezionare Salva per crearne una copia modificabile. Se si salva una copia, selezionare Visualizza cartella di lavoro salvata.
4. Nella cartella di lavoro selezionare la Sottoscrizione e la cartella di lavoro da visualizzare, quindi impostare il TimeRange sull'intervallo di tempo che si desidera visualizzare. È possibile impostare il selettore Mostra guida su Sì per visualizzare le spiegazioni direttamente nella cartella di lavoro.

Esportare i dati relativi ai costi

È anche possibile esportare i dati sui costi in un account di archiviazione. L'esportazione dei dati sui costi è utile quando è necessario analizzare ulteriormente i dati per verificare i costi. Ad esempio, un team finanziario può analizzare i dati usando Excel o Power BI. È possibile esportare i costi in base a una pianificazione giornaliera, settimanale o mensile e impostare un intervallo di date personalizzato. Si consiglia di esportare i dati sui costi per recuperare i set di dati dei costi.

Creare i budget

È possibile creare budget per gestire i costi e creare avvisi per informare automaticamente gli stakeholder in caso di anomalie di spesa e rischi di costi eccessivi. Gli avvisi si basano sul confronto tra la spesa e le soglie definite budget e costi. I budget e gli avvisi vengono creati per le sottoscrizioni e i gruppi di risorse di Azure, quindi sono utili come parte di una strategia complessiva di monitoraggio dei costi.

È possibile creare budget con filtri per risorse o servizi specifici in Azure, se si vuole una maggiore granularità del monitoraggio. I filtri consentono di evitare la creazione accidentale di nuove risorse che comportano costi aggiuntivi. Per altre informazioni sulle opzioni di filtro disponibili quando si crea un budget, vedere Opzioni di raggruppamento e filtro.

Usare un playbook per gli avvisi di gestione dei costi

Per controllare il budget di Microsoft Sentinel, è possibile creare un playbook di gestione dei costi. Il playbook invia un avviso se l'area di lavoro di Microsoft Sentinel supera un budget, definito entro un determinato intervallo di tempo.

La community GitHub di Microsoft Sentinel offre il Send-IngestionCostAlert playbook di gestione dei costi in GitHub. Questo playbook viene attivato da un trigger di ricorrenza e offre un livello elevato di flessibilità. È possibile controllare la frequenza di esecuzione, il volume di inserimento e il messaggio da attivare in base alle proprie esigenze.

Definisci un limite massimo per i volumi di dati in Log Analytics

In Log Analytics, è possibile abilitare un limite di volume giornaliero che limita l'inserimento giornaliero per l'area di lavoro. Il limite giornaliero consente di gestire aumenti imprevisti del volume di dati, rimanere entro il limite e ridurre gli addebiti non pianificati.

Per definire un limite di volume giornaliero, selezionare Utilizzo e costi stimati nel riquadro di spostamento sinistro dell'area di lavoro Log Analytics, quindi selezionare Limite giornaliero. Selezionare Sì, immettere un importo massimo per il limite di volume giornaliero e selezionare OK.

La schermata Utilizzo e costi stimati mostra anche la tendenza del volume di dati inseriti negli ultimi 31 giorni e il volume totale dei dati conservati.

Per altre informazioni, vedere Impostare il limite giornaliero nell'area di lavoro Log Analytics.

Passaggi successivi

• Ridurre i costi per Microsoft Sentinel
• Informazioni su come ottimizzare gli investimenti per il cloud con Gestione dei costi Microsoft.
• Altre informazioni sulla gestione dei costi con l'analisi dei costi.
• Informazioni su come evitare costi imprevisti.
• Seguire il corso di apprendimento guidato sulla Gestione dei costi.
• Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Procedure consigliate di Monitoraggio di Azure - Gestione dei costi.