次の方法で共有

Microsoft Sentinel のコストを管理および監視する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel のリソースを使い始めた後、Cost Management の機能を使用して、予算の設定とコストの監視を行います。 また、予想コストを確認し、支出の傾向を特定して、対処が必要な領域を特定することもできます。

Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストの管理および監視の方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。

前提条件

Cost Management でコスト データを表示し、コスト分析を実行するには、サポートされている種類の Azure アカウントと、少なくとも読み取りアクセス権が必要です。

Cost Management のコスト分析では、ほとんどの種類の Azure アカウントがサポートされていますが、すべてではありません。 サポートされているアカウントの種類の完全な一覧を表示するには、「 Cost Management データについて」を参照してください。

Microsoft Cost Management データへのアクセス権の割り当てについては、「データへの アクセスの割り当て」を参照してください。

コスト分析を使用してコストを表示する

Microsoft Sentinel で Azure リソースを使用する場合、コストが発生します。 Azure リソース使用のユニット コストは、期間 (秒、分、時間、日数など) やユニット使用量 (バイト、メガバイトなど) によって異なります。 Microsoft Sentinel が課金データの分析を開始すると、すぐにコストが発生します。 Azure portal のコスト分析を使用して、これらのコストを表示します。 詳細については、「 コスト分析の使用を開始する」を参照してください。

コスト分析を使用すると、さまざまな期間について、Microsoft Sentinel のコストをグラフや表で表示できます。 たとえば、日単位、現在の月、以前の月、年単位などがあります。 予算や予想コストを基準としてコストを表示することもできます。 時間経過を示す、より長い期間のビューに切り替えると、支出の傾向を特定するのに役立ちます。 超過出費が発生した可能性のある時期を確認できます。 予算を作成したら、それを超えた場所も簡単に確認できます。

Microsoft Cost Management + Billing ハブには便利な機能が用意されています。 Azure portal で Cost Management + Billing を開いた後、左側のナビゲーションで [Cost Management ] を選択し、調査する スコープ またはリソースのセット (Azure サブスクリプションやリソース グループなど) を選択します。

[コスト分析] 画面には、Azure の使用状況とコストの詳細なビューと、さまざまな制御とフィルターを適用するオプションが表示されます。

たとえば、特定の期間の日単位のコストのグラフを表示するには:

  1. [ 表示 ] フィールドでドロップダウン キャレットを選択し、[ 累積コスト ] または [ 日次コスト] を選択します。

  2. 日付フィールドのドロップダウン キャレットを選択して、日付範囲を選択します。

  3. 粒度の横にあるドロップダウンキャレットを選択し、日単位を選択します。

    以下の画像で示されているコストは、例示のみを目的としたものです。 実際のコストを反映したものではありません。

    コスト管理と請求コスト分析画面のスクリーンショット。

さらに、制御を適用することもできます。 たとえば、Microsoft Sentinel に関連付けられているコストのみを表示するには、[ フィルターの追加] を選択し、[ サービス名] を選択してから、 SentinelLog AnalyticsAzure Monitor というサービス名を選択します。

Microsoft Sentinel のデータ インジェスト ボリュームは、一部のポータルの使用状況グラフの Security Insights の下に表示されます。

Microsoft Sentinel クラシック価格レベルには Log Analytics の料金は含まれていないため、これらの料金が個別に課金される場合があります。 Microsoft Sentinel の簡略化された価格は、2 つのコストを 1 つのレベル セットに組み合わせたものです。 Microsoft Sentinel の簡略化された価格レベルの詳細については、「 簡略化された価格レベル」を参照してください。

コスト削減の詳細については、「Microsoft Sentinel で 予算を作成、コストを削減する」を参照してください。

Microsoft Sentinel での Azure 前払いの使用

Microsoft Sentinel の料金は、Azure 前払いのクレジットで支払うことができます。 ただし、Azure 前払いクレジットを使用して、Microsoft 以外の組織の製品やサービス、または Azure Marketplace の製品に対する請求を支払うすることはできません。

クエリを実行して、データ インジェストを把握する

Microsoft Sentinel では、広範なクエリ言語を使用して、膨大な量の運用データの分析、操作、分析情報の抽出が数秒で行われます。 データ インジェストの量を把握するために使用できるいくつかの Kusto クエリを次に示します。

ソリューション別にデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

データの種類別にデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

ソリューションとデータの種類の両方ごとにデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

上の例で使用されている次の項目の詳細については、Kusto ドキュメントを参照してください。

KQL の詳細については、 Kusto クエリ言語 (KQL) の概要に関するページを参照してください。

その他のリソース:

ブックをデプロイして、データ インジェストを視覚化する

ワークスペース使用状況レポート ブックには、ワークスペースのデータ使用量、コスト、使用状況の統計情報が表示されます。 ブックでは、ワークスペースのデータ インジェストの状態と、無料データと課金対象データの量が示されます。 ブックのロジックを使用して、データ インジェストとコストを監視し、カスタム ビューやルールベースのアラートを作成することができます。

また、このブックではインジェストの詳細も提供されます。 ブックにより、ワークスペース内のデータがデータ テーブル別に分割され、テーブルとエントリごとの量が提供されて、インジェスト パターンの理解を深めるのに役立ちます。

ワークスペース使用状況レポート ブックを有効にするには:

  1. Microsoft Sentinel の左側のナビゲーションで、[ 脅威の管理>作業ブック] を選択します。
  2. 検索バーに ワークスペースの使用状況 を入力し、[ ワークスペース使用状況レポート] を選択します。
  3. ブックをそのまま使用する [テンプレートの表示 ] を選択するか、[ 保存] を選択してブックの編集可能なコピーを作成します。 コピーを保存する場合は、[保存されたブックの表示] を選択します。
  4. ブックで、表示する サブスクリプションワークスペース を選択し、表示する期間に TimeRange を設定します。 [ヘルプの表示] トグルを [はい] に設定すると、ブックにその場で説明を表示できます。

コスト データのエクスポート

コスト データをストレージ アカウントにエクスポートすることもできます。 コスト データのエクスポートは、自分や他のユーザーがコストに関する追加のデータ分析を行う必要がある場合に便利です。 たとえば、財務チームは、Excel や Power BI を使用してデータを分析できます。 日単位、週単位、または月単位のスケジュールでコストをエクスポートし、カスタムの日付範囲を設定することができます。 コスト データのエクスポートは、推奨されるコスト データセット取得方法です。

予算を作成する

予算を作成してコストを管理し、支出の異常や超過リスクを関係者に自動的に通知するアラートを作成できます。 アラートは、予算とコストのしきい値と比較した支出に基づきます。 予算とアラートは、Azure サブスクリプションとリソース グループに対して作成されるため、全体的なコスト監視戦略の一環として役立ちます。

さらに細かく監視したい場合は、Azure の特定のリソースまたはサービスに対するフィルターを使用して予算を作成できます。 フィルターを使用すると、追加のコストがかかる新しいリソースが誤って作成されないようにすることができます。 予算を作成するときに使用できるフィルター オプションの詳細については、「 グループ化とフィルターのオプション」を参照してください。

コスト管理のアラートにプレイブックを使用する

Microsoft Sentinel の予算を管理するために、コスト管理のプレイブックを作成できます。 Microsoft Sentinel ワークスペースが特定の期間について定義した予算を超えた場合、プレイブックによってアラートが送信されます。

Microsoft Sentinel GitHub コミュニティから、GitHub で Send-IngestionCostAlert コスト管理プレイブックが提供されています。 このプレイブックは繰り返しトリガーによってアクティブ化され、高い柔軟性を備えています。 要件に基づいて、実行頻度、インジェスト量、トリガーするメッセージを制御できます。

Log Analytics でデータ量の上限を定義する

Log Analytics では、ワークスペースの 1 日のインジェストを制限する 1 日の量の上限を有効にできます。 1 日の上限は、データ量の予期しない増加を管理し、制限内に留め、計画外の料金を制限するのに役立ちます。

日単位のボリューム上限を定義するには、Log Analytics ワークスペースの左側のナビゲーションで [使用量と推定コスト ] を選択し、[ 日次上限] を選択します。 [オン] を選択し、日次ボリュームの上限金額を入力して、[OK] を選択します。

[使用量と推定コスト] 画面と [日次上限] ウィンドウを示すスクリーンショット。

[ 使用量と推定コスト ] 画面には、過去 31 日間の取り込まれたデータ 量の傾向と、保持されたデータ量の合計も表示されます。

詳細については、「 Log Analytics ワークスペースの日次上限を設定する」を参照してください。

次のステップ