Gestire e monitorare i costi per Microsoft Sentinel

Dopo aver iniziato a utilizzare le risorse di Microsoft Sentinel, usare le funzionalità di Gestione dei costi per impostare i budget e monitorare i costi. È anche possibile esaminare i costi previsti e identificare le tendenze di spesa per identificare le aree in cui si potrebbe voler agire. Con il data lake, è anche possibile visualizzare l'utilizzo direttamente nel portale di Microsoft Defender.

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come gestire e monitorare i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.

A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Prerequisiti

Per visualizzare i dati sui costi ed eseguire l'analisi dei costi in Gestione dei costi, è necessario disporre di un tipo di account Azure supportato, con almeno l'accesso in lettura.

L'analisi dei costi in Gestione dei costi supporta la maggior parte dei tipi di account di Azure, ma non tutti. Per visualizzare l'elenco completo dei tipi di account supportati, vedere Informazioni sui dati di Gestione costi.

Per informazioni sull'assegnazione dell'accesso ai dati di Gestione costi Microsoft, vedere Assegnare l'accesso ai dati.

Gestire e monitorare i costi per il livello di analisi

Quando si usano le risorse di Azure con Microsoft Sentinel, sono applicati dei costi. I costi unitari dell'utilizzo di risorse di Azure variano in base agli intervalli di tempo, come secondi, minuti, ore e giorni, o in base all'utilizzo per unità, come byte, megabyte e così via.

Visualizzare i costi usando l'analisi dei costi

Non appena Microsoft Sentinel inizia a inserire dati fatturabili, comporta costi. Visualizzare questi costi usando l'analisi dei costi nel portale di Azure. Per altre informazioni, vedere Iniziare a usare l'analisi dei costi.

Quando si usa l'analisi dei costi, i costi di Microsoft Sentinel vengono visualizzati in grafici e tabelle per intervalli di tempo diversi. Ad esempio, per giorno, mese corrente/ precedente e anno. È possibile visualizzare i costi anche in base ai budget e ai costi previsti. Passare a visualizzazioni con intervalli di tempo più lunghi consente di identificare le tendenze di spesa. E di individuare dove si sono verificate spese eccessive. Se sono stati creati budget, è possibile individuare facilmente anche dove vengono superati.

L'hub Gestione costi e fatturazione Microsoft offre funzionalità utili. Dopo aver aperto Gestione costi e fatturazione nel portale di Azure, selezionare Gestione costi nel riquadro di spostamento a sinistra e quindi selezionare l'ambito o il set di risorse da analizzare, ad esempio una sottoscrizione di Azure o un gruppo di risorse.

La schermata Analisi costi mostra visualizzazioni dettagliate dell'utilizzo e dei costi di Azure, con l'opzione per applicare vari controlli e filtri.

Ad esempio, per visualizzare grafici dei costi giornalieri per un determinato intervallo di tempo:

1. Selezionare il cursore a discesa nel campo Visualizza e selezionare Costi accumulati o Costi giornalieri.

2. Selezionare il cursore a discesa nel campo della data e selezionare un intervallo di date.

3. Selezionare il cursore a discesa accanto a Granularità e selezionare Giornaliero.

   I costi illustrati nell'immagine seguente sono solo a scopo illustrativo. Non sono destinati a riflettere i costi effettivi.

   

È anche possibile applicare ulteriori controlli. Ad esempio, per visualizzare solo i costi associati a Microsoft Sentinel, selezionare Aggiungi filtro, selezionare Nome servizio e quindi selezionare i nomi dei servizi Sentinel, Log Analytics e Monitoraggio di Azure.

I volumi di inserimento dati del livello di analisi di Microsoft Sentinel vengono visualizzati in Informazioni dettagliate sulla sicurezza in alcuni grafici di utilizzo del portale.

I piani tariffari classici di Microsoft Sentinel non includono gli addebiti di Log Analytics, quindi è possibile che tali addebiti vengano fatturati separatamente. I prezzi semplificati di Microsoft Sentinel combinano i due costi in un unico set di livelli. Per altre informazioni sui piani tariffari semplificati di Microsoft Sentinel, vedere Piani tariffari semplificati.

Per altre informazioni sulla riduzione dei costi, vedere Creare budget e ridurre i costi in Microsoft Sentinel.

Eseguire query per comprendere l'inserimento dei dati del livello di analisi

Microsoft Sentinel usa un linguaggio di query completo per analizzare, interagire e ricavare informazioni dettagliate da enormi volumi di dati operativi in pochi secondi. Ecco alcune query Kusto che è possibile usare per comprendere il volume di inserimento dati.

Eseguire la query seguente per visualizzare il volume di inserimento dati in base alla soluzione:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati in base al tipo di dati:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Eseguire la query seguente per visualizzare il volume di inserimento dati sia in base alla soluzione che al tipo di dati:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:

• Operatore where
• Operatore extend
• Operatore summarize
• Operatore render
• Operatore sort
• Funzione iff()
• Funzione ago()
• Funzione now()
• Funzione bin()
• Funzione startofday()
• Funzione di aggregazione count()
• Funzione di aggregazione sum()

Per altre informazioni su KQL, vedere Panoramica del linguaggio di query Kusto (KQL).

Altre risorse:

• Informazioni di riferimento rapido su KQL
• Risorse di apprendimento del linguaggio di query Kusto

Distribuire una cartella di lavoro per visualizzare l'inserimento dei dati nel livello di analisi

La cartella di lavoro Report sull'Utilizzo dell'Area di Lavoro fornisce dati sul consumo, sui costi e sulle statistiche d'uso dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento e i costi dei dati e per creare visualizzazioni personalizzate e avvisi basati su regole.

Questa cartella di lavoro fornisce anche dettagli granulari sull'inserimento. La cartella di lavoro suddivide i dati nell'area di lavoro in base alla tabella dati e fornisce volumi per tabella e immissione per facilitare la comprensione dei modelli di inserimento.

Per abilitare la cartella di lavoro del report di utilizzo dell'area di lavoro:

1. Nel riquadro di spostamento a sinistra di Microsoft Sentinel, selezionare Gestione delle minacce>Cartelle di lavoro.
2. Immettere l'utilizzo dell'area di lavoro nella barra di ricerca e quindi selezionare Report utilizzo area di lavoro.
3. Selezionare Visualizza modello per usare la cartella di lavoro così come è oppure selezionare Salva per creare una copia modificabile della cartella di lavoro. Se si salva una copia, selezionare Visualizza cartella di lavoro salvata.
4. Nella cartella di lavoro selezionare la sottoscrizione e l'area di lavoro da visualizzare e quindi impostare TimeRange sull'intervallo di tempo che si vuole visualizzare. È possibile impostare l'interruttore Mostra guida su Sì per visualizzare le spiegazioni sul posto nella cartella di lavoro.

Esportare i dati relativi ai costi

È anche possibile esportare i dati dei costi in un account di archiviazione. L'esportazione dei dati sui costi è utile quando è necessario analizzare ulteriormente i dati per verificare i costi. Ad esempio, un team finanziario può analizzare i dati usando Excel o Power BI. È possibile esportare i costi in base a una pianificazione giornaliera, settimanale o mensile e impostare un intervallo di date personalizzato. Si consiglia di esportare i dati sui costi per recuperare i set di dati dei costi.

Creare i budget

È possibile creare budget per tenere traccia dei costi e creare avvisi che notificano automaticamente agli stakeholder anomalie di spesa e rischi in sospeso. Gli avvisi si basano sul confronto tra la spesa e le soglie definite budget e costi. I budget e gli avvisi vengono creati per le sottoscrizioni e i gruppi di risorse di Azure, quindi sono utili come parte di una strategia complessiva di monitoraggio dei costi.

È possibile creare budget con filtri per risorse o servizi specifici in Azure se si vuole una granularità più precisa nel monitoraggio. I filtri consentono di evitare la creazione accidentale di nuove risorse che comportano costi aggiuntivi. Per altre informazioni sulle opzioni di filtro disponibili quando si crea un budget, vedere Opzioni di raggruppamento e filtro.

Usare un playbook per gli avvisi di gestione dei costi

Per controllare il budget del livello di Analisi, è possibile creare un playbook di gestione dei costi. Il playbook invia un avviso se l'area di lavoro di Microsoft Sentinel supera un budget, definito entro un determinato intervallo di tempo.

La community GitHub di Microsoft Sentinel offre il Send-IngestionCostAlert playbook di gestione dei costi in GitHub. Questo playbook viene attivato da un trigger di ricorrenza e offre un livello elevato di flessibilità. È possibile controllare la frequenza di esecuzione, il volume di inserimento e il messaggio da attivare in base alle proprie esigenze.

Gestire e monitorare i costi per il livello Data Lake

Una volta completato l'onboarding, l'utilizzo delle funzionalità del livello Data Lake viene fatturato usando i nuovi contatori del Data Lake di Microsoft Sentinel. Per altre informazioni sui nuovi contatori, vedere Livello Data Lake.

Gestione dei costi di Microsoft Sentinel nel portale di Microsoft Defender

La nuova esperienza di gestione dei costi, attualmente in anteprima e sotto Microsoft Sentinel>Gestione costi nel portale di Microsoft Defender, aiuta a gestire e monitorare i costi associati all'uso del tier data lake.

Importante

Per accedere alle pagine di gestione dei costi di Sentinel, è necessario disporre dei ruoli Amministratore fatturazione e Amministratore della sicurezza.

Usage

Nella pagina Utilizzo sono disponibili punti di ingresso per le funzionalità di rilevamento dei costi pertinenti e un collegamento diretto ai report e alle impostazioni di utilizzo, in modo da poter passare all'azione di gestione dei costi più pertinente.

• Report sull'utilizzo : visualizza l'utilizzo in base alle funzionalità nel tempo. Si trova sotto la sezione Capacità attualmente fatturate.
• Gestione costi : consente di accedere al pannello Gestione costi e fatturazione nel portale di Azure per tenere traccia dei costi e creare budget. Per altre informazioni su come usare Gestione costi e fatturazione nel portale di Azure, vedere Iniziare a usare l'analisi dei costi.
• Previsione dei costi : consente di visualizzare un report di previsione nel pannello Gestione dei costi e fatturazione nel portale di Azure. Per altre informazioni su come usare la funzionalità di previsione, vedere Visualizzare i costi di previsione.
• Impostazioni di Microsoft Sentinel: apre le impostazioni di Microsoft Sentinel per visualizzare le informazioni di fatturazione pertinenti, ad esempio la sottoscrizione e il gruppo di risorse selezionato per il data lake.

Quando si seleziona una delle funzionalità in Report di utilizzo, è possibile visualizzare uno dei report seguenti:

• Report driver di costo : visualizza i primi 10 driver di costo per la funzionalità e un elenco dettagliato che suddivide l'utilizzo per driver di costo. Questo report è disponibile per l'inserimento nei data lake, l'archiviazione dei data lake e l'elaborazione dei dati. L'unico utilizzo acquisito per questi report è l'utilizzo fatturabile.

  

• Report di tendenza generale : visualizza una linea di tendenza dell'utilizzo fatturabile per tale funzionalità. Questo report è attualmente disponibile per le query del data lake e per analisi avanzate sui dati e verrà reso disponibile per le altre funzionalità progressivamente.

  

È possibile usare un filtro per modificare l'intervallo di tempo predefinito per mese singolo. Una scheda mostra l'utilizzo totale per il tempo filtrato. Se sono disponibili dati cronologici sufficienti, viene visualizzata la variazione della tendenza rispetto al periodo precedente.

Notification

La pagina Notifica consente di configurare le soglie di notifica per ogni funzionalità in modo da poter ricevere notifiche tramite posta elettronica quando l'utilizzo raggiunge tale soglia. L'impostazione di queste soglie consente di tenere traccia dell'utilizzo e di evitare addebiti imprevisti. Attualmente, le notifiche tramite posta elettronica passano all'amministratore di fatturazione che le ha configurate.

Per configurare un criterio soglia di notifica in una funzionalità:

1. Selezionare Configurazione accanto alla funzionalità.

   

2. Nel pannello laterale Crea nuova politica visualizzato, immettere un valore per la soglia totale.

   

3. Immettere un valore percentuale avviso per impostare la soglia di avviso per il valore totale impostato in precedenza e quindi selezionare Avanti.

   

4. Rivedere le impostazioni e quindi selezionare Invia.

   

Uso del pagamento anticipato di Azure con Microsoft Sentinel

È possibile pagare gli addebiti di Microsoft Sentinel con il credito di pagamento anticipato di Azure. Non è possibile usare il credito di pagamento anticipato di Azure per pagare organizzazioni non Microsoft per i prodotti e i servizi o per i prodotti di Azure Marketplace.

Passaggi successivi

• Ridurre i costi per Microsoft Sentinel
• Informazioni su come ottimizzare l'investimento nel cloud con Microsoft Cost Management.
• Altre informazioni sulla gestione dei costi con l'analisi dei costi.
• Informazioni su come evitare costi imprevisti.
• Seguire il corso di apprendimento guidato gestione costi .
• Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Procedure consigliate di Monitoraggio di Azure - Gestione costi.