Microsoft Sentinel のコストを管理および監視する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel のリソースを使い始めた後、Cost Management の機能を使用して、予算の設定とコストの監視を行います。 また、予想コストを確認し、支出の傾向を特定して、対処が必要な領域を特定することもできます。

Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストの管理および監視の方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として使用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

Cost Management でコスト データを表示し、コスト分析を実行するには、サポートされている種類の Azure アカウントと、少なくとも読み取りアクセス権が必要です。

Cost Management のコスト分析では、ほとんどの種類の Azure アカウントがサポートされていますが、すべてではありません。 サポートされているアカウントの種類の完全な一覧については、「Understand Cost Management data (Cost Management データの概要)」を参照してください。

Microsoft Cost Management データに対するアクセス権の割り当てについては、データに対するアクセス権の割り当てに関するページを参照してください。

コスト分析を使用してコストを表示する

Microsoft Sentinel で Azure リソースを使用する場合、コストが発生します。 Azure リソース使用のユニット コストは、期間 (秒、分、時間、日数など) やユニット使用量 (バイト、メガバイトなど) によって異なります。 Microsoft Sentinel が課金データの分析を開始すると、すぐにコストが発生します。 Azure portal のコスト分析を使用して、これらのコストを表示します。 詳細については、「コスト分析のクイックスタート」をご覧ください。

コスト分析を使用すると、さまざまな期間について、Microsoft Sentinel のコストをグラフや表で表示できます。 たとえば、日単位、現在の月、以前の月、年単位などがあります。 予算や予想コストを基準としてコストを表示することもできます。 時間経過を示す、より長い期間のビューに切り替えると、支出の傾向を特定するのに役立ちます。 超過出費が発生した可能性のある時期を確認できます。 予算を作成したら、それを超えた場所も簡単に確認できます。

Microsoft Cost Management + Billing ハブには便利な機能があります。 Azure portal で Cost Management + Billing を開いた後、左側のナビゲーションで [コスト管理] を選択し、Azure サブスクリプションやリソース グループなど、調査するスコープまたはリソースのセットを選択します。

[コスト分析] 画面には、Azure の使用状況とコストの詳細なビューと、さまざまな制御やフィルターを適用するためのオプションが表示されます。

たとえば、特定の期間の日単位のコストのグラフを表示するには:

  1. [表示] フィールドのドロップダウン キャレットを選択し、 [累積コスト] または [1 日あたりのコスト] を選択します。

  2. 日付フィールドのドロップダウン キャレットを選択して、日付範囲を選択します。

  3. [細分性] の横にあるドロップダウン キャレットを選択し、 [日次] を選択します。

    以下の画像で示されているコストは、例示のみを目的としたものです。 実際のコストを反映したものではありません。

    Cost Management + 請求先のコスト分析スクリーンを示すスクリーンショット。

さらに、制御を適用することもできます。 たとえば、Microsoft Sentinel に関連するコストのみを表示するには、[フィルターの追加] を選択し、[サービス名] を選択して、サービス名として Sentinellog analyticsazure monitor を選択します。

ポータルの一部の使用状況グラフの [Security Insights](セキュリティ分析情報) には、Microsoft Sentinel のデータ インジェスト量が表示されます。

Microsoft Sentinel クラシック価格レベルには Log Analytics の料金は含まれていないため、これらの料金が個別に課金される場合があります。 Microsoft Sentinel の簡略化された価格は、2 つのコストを 1 つのレベル セットに組み合わせたものです。 Microsoft Sentinel の簡略化された価格レベルの詳細については、「簡略化された価格レベル」をご覧ください。

コスト削減の詳細については、「予算の作成」と「Microsoft Sentinel のコストを削減する」をご覧ください。

Microsoft Sentinel での Azure 前払いの使用

Microsoft Sentinel の料金は、Azure 前払いのクレジットで支払うことができます。 ただし、Azure 前払いクレジットを使用して、Microsoft 以外の組織の製品やサービス、または Azure Marketplace の製品に対する請求を支払うすることはできません。

クエリを実行して、データ インジェストを把握する

Microsoft Sentinel では、広範なクエリ言語を使用して、膨大な量の運用データの分析、操作、分析情報の抽出が数秒で行われます。 データ インジェストの量を把握するために使用できるいくつかの Kusto クエリを次に示します。

ソリューション別にデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

データの種類別にデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

ソリューションとデータの種類の両方ごとにデータ インジェストの量を表示するには、次のクエリを実行します。

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

ブックをデプロイして、データ インジェストを視覚化する

ワークスペース使用状況レポート ブックにより、ワークスペースのデータ消費量、コスト、使用統計が提供されます。 ブックでは、ワークスペースのデータ インジェストの状態と、無料データと課金対象データの量が示されます。 ブックのロジックを使用して、データ インジェストとコストを監視し、カスタム ビューやルールベースのアラートを作成することができます。

また、このブックではインジェストの詳細も提供されます。 ブックにより、ワークスペース内のデータがデータ テーブル別に分割され、テーブルとエントリごとの量が提供されて、インジェスト パターンの理解を深めるのに役立ちます。

ワークスペース使用状況レポート ブックを有効にするには:

  1. Microsoft Sentinel の左側のナビゲーションで、 [脅威の管理]>[ブック] を選択します。
  2. 検索バーに「ワークスペース使用状況」と入力し、 [Workspace Usage Report](ワークスペース使用状況レポート) を選択します。
  3. ブックをそのまま使用するには [テンプレートの表示] を選択し、ブックの編集可能なコピーを作成するには [保存] を選択します。 コピーを保存する場合は、 [保存されたブックの表示] を選択します。
  4. ブックで、表示するサブスクリプションワークスペースを選択し、TimeRange に表示する時間枠を設定します。 [ヘルプの表示] トグルを [はい] に設定すると、ブックにその場で説明が表示されます。

コスト データのエクスポート

また、ストレージ アカウントにコスト データをエクスポートすることもできます。 コスト データのエクスポートは、自分や他のユーザーがコストに関する追加のデータ分析を行う必要がある場合に便利です。 たとえば、財務チームは、Excel や Power BI を使用してデータを分析できます。 日単位、週単位、または月単位のスケジュールでコストをエクスポートし、カスタムの日付範囲を設定することができます。 コスト データのエクスポートは、推奨されるコスト データセット取得方法です。

予算を作成する

予算を作成して、コストを管理し、異常な支出や浪費のリスクについて、関係者に自動的に通知するアラートを作成できます。 アラートは、予算とコストのしきい値と比較した支出に基づきます。 予算とアラートは、Azure サブスクリプションとリソース グループに対して作成されるため、全体的なコスト監視戦略の一環として役立ちます。

さらに細かく監視したい場合は、Azure の特定のリソースまたはサービスに対するフィルターを使用して予算を作成できます。 フィルターを使用すると、追加のコストがかかる新しいリソースが誤って作成されないようにすることができます。 予算を作成するときに使用可能なフィルター オプションの詳細については、グループとフィルターのオプションに関する記事を参照してください。

コスト管理のアラートにプレイブックを使用する

Microsoft Sentinel の予算を管理するために、コスト管理のプレイブックを作成できます。 Microsoft Sentinel ワークスペースが特定の期間について定義した予算を超えた場合、プレイブックによってアラートが送信されます。

Microsoft Sentinel GitHub コミュニティから、GitHub で Send-IngestionCostAlert コスト管理プレイブックが提供されています。 このプレイブックは繰り返しトリガーによってアクティブ化され、高い柔軟性を備えています。 要件に基づいて、実行頻度、インジェスト量、トリガーするメッセージを制御できます。

Log Analytics でデータ量の上限を定義する

Log Analytics では、ワークスペースの 1 日のインジェストを制限する 1 日の量の上限を有効にできます。 1 日の上限は、データ量の予期しない増加を管理し、制限内に留め、計画外の料金を制限するのに役立ちます。

1 日の量の上限を定義するには、Log Analytics ワークスペースの左側のナビゲーションで [使用とコストの見積もり] を選択し、 [日次上限] を選択します。 [オン] を選択し、1 日の量の上限を入力して、 [OK] を選択します。

[使用とコストの見積もり] 画面と [日次上限] ウィンドウを示すスクリーンショット。

[使用とコストの見積もり] 画面には、過去 31 日間に取り込まれたデータ量の傾向と、保持されている合計データ量も示されます。

詳細については、「Log Analytics ワークスペースの日次上限を設定する」を参照してください。

次のステップ