Ridurre i costi per Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come ridurre i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Impostare o modificare il piano tariffario

Per ottimizzare i risparmi più elevati, monitorare il volume di inserimento per assicurarsi di avere il livello di impegno più allineato ai modelli di volume di inserimento. Prendere in considerazione l'aumento o la riduzione del livello di impegno per allinearsi ai volumi di dati modificati.

È possibile aumentare il livello di impegno in qualsiasi momento, che riavvia il periodo di impegno di 31 giorni. Tuttavia, per tornare al piano con pagamento in base al consumo o a un livello di impegno inferiore, è necessario attendere fino al termine del periodo di impegno di 31 giorni. La fatturazione per i livelli di impegno è giornaliera.

Per visualizzare il piano tariffario corrente di Microsoft Sentinel, selezionare Impostazioni nel riquadro di spostamento a sinistra di Microsoft Sentinel e quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Piano corrente.

Per modificare l'impegno del piano tariffario, selezionare uno degli altri livelli nella pagina dei prezzi e quindi selezionare Applica. Per modificare il piano tariffario, è necessario disporre di Collaboratore o Proprietario per l'area di lavoro di Microsoft Sentinel.

Per altre informazioni su come monitorare i costi, vedere Gestire e monitorare i costi per Microsoft Sentinel.

Per le aree di lavoro che usano ancora piani tariffari classici, i piani tariffari di Microsoft Sentinel non includono gli addebiti di Log Analytics. Per altre informazioni, vedere Piani tariffari semplificati.

Separare i dati non di sicurezza in un'area di lavoro diversa

Microsoft Sentinel analizza tutti i dati inseriti nelle aree di lavoro Log Analytics abilitate per Microsoft Sentinel. È consigliabile disporre di un'area di lavoro separata per i dati delle operazioni non di sicurezza, per assicurarsi che non vengano addebitati costi di Microsoft Sentinel.

Durante la ricerca o l'analisi delle minacce in Microsoft Sentinel, potrebbe essere necessario accedere ai dati operativi archiviati in queste aree di lavoro di Azure Log Analytics autonome. È possibile accedere a questi dati usando l'esecuzione di query tra aree di lavoro nell'esperienza di esplorazione dei log e nelle cartelle di lavoro. Tuttavia, non è possibile usare regole di analisi tra aree di lavoro e query di ricerca, a meno che Microsoft Sentinel non sia abilitato in tutte le aree di lavoro.

Attivare l'inserimento dei dati dei log di base per i dati con un valore di sicurezza basso volume elevato (anteprima)

A differenza dei log di analisi, i log di base sono in genere dettagliati. Contengono una combinazione di dati con volumi elevati e valori di sicurezza bassi che non vengono usati di frequente o a cui si accede su richiesta per query, indagini e ricerche ad hoc. Abilitare l'inserimento dei dati di log di base a un costo notevolmente ridotto per le tabelle di dati idonee. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

Ottimizzare i costi di Log Analytics con cluster dedicati

Se si inseriscono almeno 500 GB nell'area di lavoro o nelle aree di lavoro di Microsoft Sentinel nella stessa area, è consigliabile passare a un cluster dedicato di Log Analytics per ridurre i costi. Un livello impegno cluster dedicato di Log Analytics aggrega il volume di dati tra aree di lavoro che inseriscono collettivamente un totale di 500 GB o più. Per altre informazioni, vedere Piano tariffario semplificato per il cluster dedicato.

È possibile aggiungere più aree di lavoro di Microsoft Sentinel a un cluster dedicato di Log Analytics. L'uso di un cluster dedicato di Log Analytics per Microsoft Sentinel offre alcuni vantaggi:

• Le query tra aree di lavoro vengono eseguite più velocemente se tutte le aree di lavoro coinvolte nella query si trovano nel cluster dedicato. È comunque consigliabile avere il minor numero possibile di aree di lavoro nell'ambiente e un cluster dedicato mantiene comunque il limite di 100 aree di lavoro per l'inclusione in una singola query tra aree di lavoro.

• Tutte le aree di lavoro nel cluster dedicato possono condividere il livello di impegno di Log Analytics impostato nel cluster. Non dover eseguire il commit per separare i livelli di impegno di Log Analytics per ogni area di lavoro può consentire risparmi sui costi e efficienza. Abilitando un cluster dedicato, si esegue il commit a un livello di impegno minimo di Log Analytics di 500 GB al giorno.

Ecco alcune altre considerazioni per il passaggio a un cluster dedicato per l'ottimizzazione dei costi:

• Il numero massimo di cluster per area e sottoscrizione è due.
• Tutte le aree di lavoro collegate a un cluster devono trovarsi nella stessa area.
• Il numero massimo di aree di lavoro collegate a un cluster è 1000.
• È possibile scollegare un'area di lavoro collegata dal cluster. Il numero di operazioni di collegamento in un'area di lavoro specifica è limitato a due in un periodo di 30 giorni.
• Non è possibile spostare un'area di lavoro esistente in un cluster della chiave gestita dal cliente . È necessario creare l'area di lavoro nel cluster.
• Lo spostamento di un cluster in un altro gruppo di risorse o sottoscrizione non è attualmente supportato.
• Un collegamento all'area di lavoro a un cluster ha esito negativo se l'area di lavoro è collegata a un altro cluster.

Per altre informazioni sui cluster dedicati, vedere Cluster dedicati di Log Analytics.

Ridurre i costi di conservazione dei dati a lungo termine con Azure Esplora dati o i log archiviati (anteprima)

La conservazione dei dati di Microsoft Sentinel è gratuita per i primi 90 giorni. Per modificare il periodo di conservazione dei dati in Log Analytics, selezionare Utilizzo e costi stimati nel riquadro di spostamento sinistro, quindi selezionare Conservazione dei dati e quindi regolare il dispositivo di scorrimento.

I dati di sicurezza di Microsoft Sentinel potrebbero perdere alcuni dei relativi valori dopo alcuni mesi. Gli utenti del Centro operazioni di sicurezza (SOC) potrebbero non dover accedere ai dati meno recenti con la stessa frequenza dei dati più recenti, ma potrebbero comunque dover accedere ai dati per indagini sporadiche o scopi di controllo.

Per ridurre i costi di conservazione dei dati di Microsoft Sentinel, Monitoraggio di Azure offre ora log archiviati. I log archiviati archiviano i dati di log per lunghi periodi di tempo, fino a sette anni, a un costo ridotto con limitazioni sull'utilizzo. I log archiviati sono in anteprima pubblica. Per altre informazioni, vedere Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.

In alternativa, è possibile usare Azure Esplora dati per la conservazione dei dati a lungo termine a un costo inferiore. Azure Esplora dati offre il giusto equilibrio tra costi e usabilità per i dati obsoleti che non richiedono più intelligence sulla sicurezza di Microsoft Sentinel.

Con Azure Esplora dati è possibile archiviare i dati a un prezzo inferiore, ma esplorare ancora i dati usando le stesse query Linguaggio di query Kusto (KQL) di Microsoft Sentinel. È anche possibile usare la funzionalità proxy di Azure Esplora dati per eseguire query multipiattaforma. Queste query aggregano e correlano i dati distribuiti in Azure Esplora dati, Application Insights, Microsoft Sentinel e Log Analytics.

Per altre informazioni, vedere Integrare Azure Esplora dati per la conservazione dei log a lungo termine.

Usare le regole di raccolta dati per gli eventi di Sicurezza di Windows

Il connettore eventi Sicurezza di Windows consente di trasmettere eventi di sicurezza da qualsiasi computer che esegue Windows Server connesso all'area di lavoro di Microsoft Sentinel, inclusi server fisici, virtuali o locali o in qualsiasi cloud. Questo connettore include il supporto per l'agente di Monitoraggio di Azure, che usa regole di raccolta dati per definire i dati da raccogliere da ogni agente.

Le regole di raccolta dati consentono di gestire le impostazioni di raccolta su larga scala, consentendo comunque configurazioni univoche con ambito per subset di computer. Per altre informazioni, vedere Configurare la raccolta dati per l'agente di Monitoraggio di Azure.

Oltre ai set predefiniti di eventi che è possibile selezionare per l'inserimento, ad esempio Tutti gli eventi, Minimo o Comune, le regole di raccolta dati consentono di creare filtri personalizzati e selezionare eventi specifici da inserire. L'agente di Monitoraggio di Azure usa queste regole per filtrare i dati nell'origine e quindi inserire solo gli eventi selezionati, lasciando tutto il resto dietro. La selezione di eventi specifici da inserire consente di ottimizzare i costi e risparmiare di più.

Passaggi successivi

• Informazioni su come ottimizzare l'investimento nel cloud con Microsoft Cost Management.
• Altre informazioni sulla gestione dei costi con l'analisi dei costi.
• Informazioni su come Evitare costi imprevisti.
• Seguire il corso di apprendimento guidato Gestione dei costi.
• Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Procedure consigliate di Monitoraggio di Azure - Gestione costi.