Microsoft Sentinel のコストを削減する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストを削減する方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

価格レベルを設定または変更します

節約が最大になるように最適化するには、インジェスト量を監視して、インジェスト量のパターンと最もよく一致するコミットメント レベルを使用するようにします。 コミットメント レベルを増加または減少させて、データ量の変化に合わように調整できます。

いつでもコミットメント レベルを増やすことができ、31 日間のコミットメント期間が再開されます。 ただし、従量課金制またはより低いコミットメント レベルに戻すには、31 日のコミットメント期間が終了するまで待つ必要があります。 コミットメント レベルに対する課金は 1 日単位です。

Microsoft Sentinel の現在の価格レベルを確認するには、Microsoft Sentinel の左側のナビゲーションで [設定] を選択してから、 [価格] タブを選択します。現在の価格レベルには、 [現在のレベル] と表示されます。

価格レベルのコミットメントを変更するには、価格ページで他のいずれかのレベルを選択して、 [適用] を選択します。 価格レベルを変更するには、Microsoft Sentinel での共同作成者または所有者ロールが必要です。

コストを監視する方法の詳細については、「Microsoft Sentinel のコストを管理および監視する」をご覧ください。

従来の価格レベルを引き続き使用しているワークスペースの場合、Microsoft Sentinel の価格レベルに Log Analytics 料金は含まれません。 詳細については、「簡略化された通貨による価格」をご覧ください。

セキュリティ以外のデータを別のワークスペースに分離する

Microsoft Sentinel により、Microsoft Sentinel が有効な Log Analytics ワークスペースに取り込まれたすべてのデータが分析されます。 セキュリティ以外の運用データ用に別のワークスペースを用意し、Microsoft Sentinel のコストが発生しないようにするのが最善です。

Microsoft Sentinel で脅威をハンティングまたは調査するときは、これらのスタンドアロン Azure Log Analytics ワークスペースに格納されている運用データにアクセスすることが必要な場合があります。 このデータには、ログ探索エクスペリエンスとブックでクロスワークスペース クエリを使用してアクセスできます。 ただし、すべてのワークスペースで Microsoft Sentinel が有効になっていない限り、クロスワークスペースの分析ルールとハンティング クエリは使用できません。

高ボリューム、低セキュリティ値のデータの基本ログ データ インジェストを有効にする (プレビュー)

分析ログとは異なり、通常、基本ログは詳細です。 これらのデータには、アドホック クエリ、調査、検索のために頻繁に使用またはオンデマンドでアクセスされる、高ボリューム低セキュリティ値データの組み合わせが含まれています。 対象となるデータ テーブルで、大幅に削減されたコストでの基本ログ データ インジェストを可能にします。 詳細については、「Microsoft Sentinel の価格」を参照してください。

専用クラスターを使用して Log Analytics のコストを最適化する

少なくとも 500 GB を同じリージョン内の 1 つまたは複数の Microsoft Sentinel ワークスペースに取り込む場合は、コストを削減するために Log Analytics 専用クラスターへの移行を検討してください。 Log Analytics 専用クラスターのコミットメント レベルにより、まとめると合計 500 GB 以上を取り込むすべてのワークスペースのデータ量が集約されます。 詳細については、「専用クラスターの簡略化された価格レベル」を参照してください。

複数の Microsoft Sentinel ワークスペースを Log Analytics 専用クラスターに追加できます。 Microsoft Sentinel に Log Analytics 専用クラスターを使用すると、次のような利点があります。

• クエリに含まれるすべてのワークスペースが専用クラスター内にある場合、クロスワークスペース クエリの実行速度が向上します。 それでも、環境内のワークスペースは可能な限り少なくするのが最善であり、専用クラスターで 1 つのクロスワークスペース クエリに含めることができるワークスペースには 100 の制限がやはりあります。

• 専用クラスター内のすべてのワークスペースで、クラスターに設定されている Log Analytics コミットメント レベルを共有できます。 ワークスペースごとに個別の Log Analytics コミットメント レベルにコミットする必要がないと、コストを削減して効率化できます。 専用クラスターを有効にすると、1 日あたり 500 GB のインジェストの最小 Log Analytics コミットメント レベルにコミットすることになります。

コストの最適化のために専用クラスターに移行する場合の、その他の考慮事項を次に示します。

• リージョンおよびサブスクリプションごとのクラスターの最大数は 2 です。
• クラスターにリンクされているすべてのワークスペースは、同じリージョンに存在する必要があります。
• クラスターにリンクされるワークスペースの最大数は 1000 です。
• クラスターからリンクされたワークスペースのリンクを解除することができます。 特定のワークスペースでのリンク操作の回数は、30 日間に 2 回に制限されます。
• 既存のワークスペースをカスタマー マネージド キー (CMK) クラスターに移動することはできません。 クラスター内にワークスペースを作成する必要があります。
• 別のリソース グループまたはサブスクリプションへのクラスターの移動は、現時点ではサポートされていません。
• ワークスペースが別のクラスターにリンクされている場合、クラスターへのワークスペースのリンクは失敗します。

専用クラスターの詳細については、「Log Analytics 専用クラスター」を参照してください。

Azure Data Explorer またはアーカイブされたログを使用して、長期のデータ保持コストを削減する (プレビュー)

Microsoft Sentinel のデータ保持は、最初の 90 日間は無料です。 Log Analytics でデータ保持期間を調整するには、左側のナビゲーションで [使用とコストの見積もり] を選択してから、[データ保持] を選択し、スライダーを調整します。

Microsoft Sentinel のセキュリティ データの価値は、数か月後には多少失われる可能性があります。 セキュリティ オペレーション センター (SOC) のユーザーは、古いデータには新しいデータほど頻繁にアクセスする必要がない場合がありますが、それでも散発的な調査や監査のためにデータにアクセスすることが必要になる場合があります。

Microsoft Sentinel のデータ保持コストを削減するために、Azure Monitor ではアーカイブされたログを提供するようになりました。 アーカイブされたログには、ログ データが長時間 (最大 7 年間) 保存されます。コストは削減され、使用に制限があります。 アーカイブされたログはパブリック プレビューの段階にあります。 詳細については、「Azure Monitor Logs でのデータの保持ポリシーとアーカイブ ポリシーの構成」を参照してください。

または、低コストの長期的なデータ保持に Azure Data Explorer を使用できます。 Microsoft Sentinel のセキュリティ インテリジェンスを必要としない古いデータに対しては、Azure Data Explorer によってコストと使いやすさの適切なバランスが提供されます。

Azure Data Explorer を使用すると、より低い価格でデータを格納できますが、引き続き Microsoft Sentinel と同様に Kusto クエリ言語 (KQL) のクエリを使用してデータを探索できます。 また、Azure Data Explorer のプロキシ機能を使用して、クロスプラットフォーム クエリを実行できます。 これらのクエリでは、Azure Data Explorer、Application Insights、Microsoft Sentinel、Log Analytics に分散されたデータが集計されて関連付けられます。

詳細については、「長期的なログ保持のために Azure Data Explorer を統合する」を参照してください。

Windows セキュリティ イベントにデータ収集ルールを使用する

Windows セキュリティ イベント コネクタを使用すると、Windows Server が実行されていて、Microsoft Sentinel ワークスペースに接続されている任意のコンピューター (物理サーバー、仮想サーバー、オンプレミス サーバー、任意のクラウド内など) から、セキュリティ イベントをストリーミングできます。 このコネクタによってサポートされている Azure Monitor エージェントでは、データ収集ルールを使用して、各エージェントから収集するデータが定義されています。

データ収集ルールにより、大規模な収集設定の管理が可能になる一方、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 詳細については、「Azure Monitor エージェント用のデータ収集の構成」を参照してください。

すべてのイベント、最小、共通など、あらかじめ定義されているイベントのセットを選択して取り込むこともできますが、データ収集ルールを使用すると、カスタム フィルターを作成して、取り込む特定のイベントを選択することができます。 Azure Monitor エージェントにより、これらのルールを使用してソースのデータがフィルター処理されてから、選択したイベントだけが取り込まれ、その他はすべて残されます。 特定のイベントを選択して取り込むと、コストを最適化し、いっそう節約するのに役立ちます。

次のステップ

• Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
• コスト分析を使用してコストを管理する方法について詳細に説明します。
• 予期しないコストを回避する方法について説明します。
• Cost Management のガイド付き学習コースを受講します。
• Log Analyticsのデータ量を減らすためのその他のヒントについては、Azure Monitorのコスト管理のベストプラクティスに関するページを参照してください。