Gestire e monitorare i costi per Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dopo aver iniziato a usare le risorse di Microsoft Sentinel, usare le funzionalità di Gestione costi per impostare i budget e monitorare i costi. È inoltre possibile esaminare i costi previsti e identificare le tendenze di spesa per individuare le aree in cui si potrebbe agire.

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come gestire e monitorare i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per visualizzare i dati sui costi ed eseguire l'analisi dei costi in Gestione costi, è necessario disporre di un tipo di account Azure supportato, con almeno l'accesso in lettura.

Anche se l'analisi dei costi in Gestione costi supporta la maggior parte dei tipi di account di Azure, non tutti sono supportati. Per visualizzare l'elenco completo dei tipi di account supportati, vedere Informazioni sui dati di Gestione costi.

Per informazioni sull'assegnazione dell'accesso ai dati di Gestione costi Microsoft, vedere Assegnare l'accesso ai dati.

Visualizzare i costi usando l'analisi dei costi

Quando si usano le risorse di Azure con Microsoft Sentinel, si comportano costi. I costi delle unità di utilizzo delle risorse di Azure variano in base a intervalli di tempo, ad esempio secondi, minuti, ore e giorni o per utilizzo unità, ad esempio byte e megabyte. Non appena Microsoft Sentinel inizia ad analizzare i dati fatturabili, comporta costi. Visualizzare questi costi usando l'analisi dei costi nella portale di Azure. Per altre informazioni, vedere Iniziare a usare l'analisi dei costi.

Quando si usa l'analisi dei costi, i costi di Microsoft Sentinel vengono visualizzati in grafici e tabelle per intervalli di tempo diversi. Alcuni esempi sono per giorno, mese corrente e precedente e anno. È possibile visualizzare i costi anche in base ai budget e ai costi previsti. Il passaggio a visualizzazioni su tempi più lunghi consente di identificare le tendenze di spesa. Ed è possibile vedere eventuali picchi di spesa. Se sono stati creati budget, è anche possibile vedere facilmente dove vengono superati.

L'hub Gestione costi e fatturazione Microsoft offre funzionalità utili. Dopo aver aperto Gestione costi e fatturazione nella portale di Azure, selezionare Gestione costi nel riquadro di spostamento a sinistra e quindi selezionare l'ambito o il set di risorse da analizzare, ad esempio una sottoscrizione di Azure o un gruppo di risorse.

La schermata Analisi costi mostra visualizzazioni dettagliate dell'utilizzo e dei costi di Azure, con l'opzione per applicare vari controlli e filtri.

Ad esempio, per visualizzare grafici dei costi giornalieri per un determinato intervallo di tempo:

  1. Selezionare il cursore a discesa nel campo Visualizza e selezionare Costi accumulati o Costi giornalieri.

  2. Selezionare il cursore a discesa nel campo data e selezionare un intervallo di date.

  3. Selezionare il cursore a discesa accanto a Granularità e selezionare Giornaliero.

    I costi illustrati nell'immagine seguente sono solo a scopo esemplificativo. Non sono destinati a riflettere i costi effettivi.

    Screenshot di una schermata di gestione dei costi e analisi dei costi di fatturazione.

È anche possibile applicare ulteriori controlli. Ad esempio, per visualizzare solo i costi associati a Microsoft Sentinel, selezionare Aggiungi filtro, selezionare Nome servizio e quindi selezionare i nomi dei servizi Sentinel, Log Analytics e Monitoraggio di Azure.

I volumi di inserimento dati di Microsoft Sentinel vengono visualizzati in Security Insights in alcuni grafici di utilizzo del portale.

I piani tariffari classici di Microsoft Sentinel non includono gli addebiti di Log Analytics, quindi è possibile che tali addebiti vengano fatturati separatamente. I prezzi semplificati di Microsoft Sentinel combinano i due costi in un unico set di livelli. Per altre informazioni sui piani tariffari semplificati di Microsoft Sentinel, vedere Piani tariffari semplificati.

Per altre informazioni sulla riduzione dei costi, vedere Creare budget e ridurre i costi in Microsoft Sentinel.

Uso del pagamento anticipato di Azure con Microsoft Sentinel

È possibile pagare gli addebiti di Microsoft Sentinel con il credito di pagamento anticipato di Azure. Tuttavia, non è possibile usare il credito di pagamento anticipato di Azure per pagare le fatture alle organizzazioni non Microsoft per i prodotti e i servizi o per i prodotti di Azure Marketplace.

Eseguire query per comprendere l'inserimento dei dati

Microsoft Sentinel usa un linguaggio di query completo per analizzare, interagire e ricavare informazioni dettagliate da enormi volumi di dati operativi in pochi secondi. Ecco alcune query Kusto che è possibile usare per comprendere il volume di inserimento dati.

Eseguire la query seguente per visualizzare il volume di inserimento dati in base alla soluzione:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati in base al tipo di dati:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati sia in base alla soluzione che al tipo di dati:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Distribuire una cartella di lavoro per visualizzare l'inserimento dati

La cartella di lavoro Report sull'utilizzo dell'area di lavoro fornisce le statistiche sull'utilizzo, sui costi e sull'utilizzo dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento e i costi dei dati e per creare visualizzazioni personalizzate e avvisi basati su regole.

Questa cartella di lavoro fornisce anche dettagli granulari sull'inserimento. La cartella di lavoro suddivide i dati nell'area di lavoro in base alla tabella dati e fornisce volumi per tabella e immissione per facilitare la comprensione dei modelli di inserimento.

Per abilitare la cartella di lavoro Report utilizzo area di lavoro:

  1. Nel riquadro di spostamento a sinistra di Microsoft Sentinel selezionare Cartelle di lavoro di gestione>delle minacce.
  2. Immettere l'utilizzo dell'area di lavoro nella barra di ricerca e quindi selezionare Report utilizzo area di lavoro.
  3. Selezionare Visualizza modello per usare la cartella di lavoro così com'è oppure selezionare Salva per crearne una copia modificabile. Se si salva una copia, selezionare Visualizza cartella di lavoro salvata.
  4. Nella cartella di lavoro selezionare la sottoscrizione e l'area di lavoro da visualizzare e quindi impostare TimeRange sull'intervallo di tempo che si vuole visualizzare. È possibile impostare l'interruttore Mostra guida su per visualizzare le spiegazioni sul posto nella cartella di lavoro.

Esportare i dati relativi ai costi

È anche possibile esportare i dati sui costi in un account di archiviazione. L'esportazione dei dati sui costi è utile quando sono necessari o altri utenti per eseguire più analisi dei dati per i costi. Ad esempio, un team finanziario può analizzare i dati usando Excel o Power BI. È possibile esportare i costi in base a una pianificazione giornaliera, settimanale o mensile e impostare un intervallo di date personalizzato. L'esportazione dei dati sui costi è il modo consigliato per recuperare i set di dati dei costi.

Creare i budget

È possibile creare budget per gestire i costi e creare avvisi per informare automaticamente gli stakeholder in caso di anomalie di spesa e rischi di costi eccessivi. Gli avvisi si basano sul confronto tra la spesa e le soglie definite budget e costi. I budget e gli avvisi vengono creati per le sottoscrizioni e i gruppi di risorse di Azure, quindi sono utili come parte di una strategia di monitoraggio dei costi complessiva.

È possibile creare budget con filtri per risorse o servizi specifici in Azure se si vuole una maggiore granularità nel monitoraggio. I filtri consentono di non creare accidentalmente nuove risorse che costano più denaro. Per altre informazioni sulle opzioni di filtro disponibili quando si crea un budget, vedere Opzioni di raggruppamento e filtro.

Usare un playbook per gli avvisi di gestione dei costi

Per controllare il budget di Microsoft Sentinel, è possibile creare un playbook di gestione dei costi. Il playbook invia un avviso se l'area di lavoro di Microsoft Sentinel supera un budget, definito entro un determinato intervallo di tempo.

La community GitHub di Microsoft Sentinel offre il playbook di Send-IngestionCostAlert gestione dei costi in GitHub. Questo playbook viene attivato da un trigger di ricorrenza e offre un livello elevato di flessibilità. È possibile controllare la frequenza di esecuzione, il volume di inserimento e il messaggio da attivare in base alle esigenze.

Definisci un limite massimo per i volumi di dati in Log Analytics

In Log Analytics è possibile abilitare un limite di volume giornaliero che limita l'inserimento giornaliero per l'area di lavoro. Il limite giornaliero consente di gestire aumenti imprevisti del volume di dati, rimanere entro il limite e limitare gli addebiti non pianificati.

Per definire un limite di volume giornaliero, selezionare Utilizzo e costi stimati nel riquadro di spostamento sinistro dell'area di lavoro Log Analytics e quindi selezionare Limite giornaliero. Selezionare , immettere un importo limite di volume giornaliero e quindi selezionare OK.

Screenshot che mostra la schermata Utilizzo e costi stimati e la finestra Limite giornaliero.

La schermata Utilizzo e costi stimati mostra anche la tendenza del volume di dati inseriti negli ultimi 31 giorni e il volume totale dei dati conservati.

Per altre informazioni, vedere Impostare il limite giornaliero nell'area di lavoro Log Analytics.

Passaggi successivi