Microsoft Sentinel 비용 절감

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 비용은 Azure 청구서에 있는 월별 비용의 일부일 뿐입니다. 이 문서에서는 Microsoft Sentinel의 비용을 줄이는 방법을 설명하지만 파트너 서비스를 포함하여 Azure 구독에서 사용하는 모든 Azure 서비스 및 리소스에 대해 비용이 청구됩니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

가격 책정 계층 설정 또는 변경

최대 절감 효과를 위해 최적화하려면 수집 볼륨을 모니터링하여 수집 볼륨 패턴과 가장 가깝게 일치하는 약정 계층이 있는지 확인합니다. 변경되는 데이터 볼륨에 맞게 약정 계층을 늘리거나 줄이는 것이 좋습니다.

약정 계층은 언제든지 늘릴 수 있으며, 이 경우 31일의 약정 기간이 다시 시작됩니다. 그러나 종량제 또는 더 낮은 약정 계층으로 다시 이동하려면 31일의 약정 기간이 끝날 때까지 기다려야 합니다. 약정 계층에 대한 요금은 일일 기준으로 청구됩니다.

현재 Microsoft Sentinel 가격 책정 계층을 보려면 Microsoft Sentinel 왼쪽 탐색 메뉴에서 설정을 선택한 다음 가격 책정 탭을 선택합니다. 현재 가격 책정 계층은 현재 계층으로 표시됩니다.

가격 책정 계층 약정을 변경하려면 가격 책정 페이지에서 다른 계층 중 하나를 선택한 다음, 적용을 선택합니다. 가격 책정 계층을 변경하려면 Microsoft Sentinel에서 기여자 또는 소유자 역할이 있어야 합니다.

비용을 모니터링하는 방법에 대한 자세한 내용은 Microsoft Sentinel의 비용 관리 및 모니터링을 참조하세요.

여전히 클래식 가격 책정 계층을 사용하는 작업 영역의 경우 Microsoft Sentinel 가격 책정 계층에는 Log Analytics 요금이 포함되지 않습니다. 자세한 내용은 기본 가격 책정 계층을 참조하세요.

다른 작업 영역에서 비보안 데이터 구분

Microsoft Sentinel은 Microsoft Sentinel 지원 Log Analytics 작업 영역으로 수집된 모든 데이터를 분석합니다. Microsoft Sentinel 비용이 발생하지 않도록 비보안 작업 데이터를 위한 별도의 작업 영역을 갖는 것이 가장 좋습니다.

Microsoft Sentinel에서 위협을 헌팅하거나 조사하는 경우 이러한 독립 실행형 Azure Log Analytics 작업 영역에 저장된 작동 데이터에 액세스해야 할 수 있습니다. 이 데이터는 로그 검색 환경 및 통합 문서에서 작업 영역 간 쿼리를 사용하여 액세스할 수 있습니다. 그러나 모든 작업 영역에서 Microsoft Sentinel이 사용하도록 설정되어 있지 않으면 교차 작업 영역 분석 규칙 및 헌팅 쿼리를 사용할 수 없습니다.

보안 가치가 낮은 대용량 데이터에 대한 기본 로그 데이터 수집 켜기(미리 보기)

분석 로그와 달리 기본 로그는 일반적으로 자세한 정보입니다. 여기에는 임시 쿼리, 조사, 쿼리를 위해 자주 사용되지 않거나 자주 액세스되지 않는 대용량 데이터와 보안 가치가 낮은 데이터가 혼합되어 있습니다. 적합 데이터 테이블에 대해 상당히 저렴한 비용으로 기본 로그 데이터 수집을 사용하도록 설정합니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

전용 클러스터를 사용하여 Log Analytics 비용 최적화

Microsoft Sentinel 작업 영역 또는 동일한 지역의 작업 영역에 500GB 이상을 수집하는 경우 비용을 줄이기 위해 Log Analytics 전용 클러스터로 이동하는 것이 좋습니다. Log Analytics 전용 클러스터 약정 계층은 총 500GB 이상을 수집하는 작업 영역에서 데이터 볼륨을 집계합니다. 자세한 내용은 전용 클러스터에 대한 기본 가격 책정 계층을 참조하세요.

Log Analytics 전용 클러스터에 여러 Microsoft Sentinel 작업 영역을 추가할 수 있습니다. Microsoft Sentinel용 Log Analytics 전용 클러스터를 사용하면 다음과 같은 몇 가지 이점이 있습니다.

• 쿼리와 관련된 모든 작업 영역이 전용 클러스터에 있는 경우 작업 영역 간 쿼리가 더 빠르게 실행됩니다. 아직도 환경에서 작업 영역을 가능한 한 적게 유지하는 것이 가장 좋으며, 전용 클러스터는 작업 영역 간 단일 쿼리에 포함하기 위해 여전히 100개의 작업 영역 제한을 유지합니다.

• 전용 클러스터의 모든 작업 영역은 클러스터에 설정된 Log Analytics 약정 계층을 공유할 수 있습니다. 각 작업 영역에 대해 별도의 Log Analytics 약정 계층을 약정할 필요가 없으므로 비용을 절감하고 효율성을 높일 수 있습니다. 전용 클러스터를 사용하도록 설정하면 500GB 이상 수집의 Log Analytics 약정 계층이 약정됩니다.

비용 최적화를 위해 전용 클러스터로 이동할 때 고려해야 할 몇 가지 사항은 다음과 같습니다.

• 지역 및 구독당 최대 클러스터 수는 2개입니다.
• 클러스터에 연결되는 모든 작업 영역은 동일한 지역에 있어야 합니다.
• 클러스터에 연결되는 최대 작업 영역은 1,000개입니다.
• 클러스터에서 연결된 작업 영역의 연결을 해제할 수 있습니다. 특정 작업 영역에 대한 연결 작업의 수는 30일 동안 2개로 제한됩니다.
• 기존 작업 영역을 CMK(고객 관리형 키) 클러스터로 이동할 수 없습니다. 클러스터에 작업 영역을 만들어야 합니다.
• 클러스터를 다른 리소스 그룹 또는 구독으로 이동하는 것은 현재 지원되지 않습니다.
• 작업 영역이 다른 클러스터에 연결된 경우 클러스터에 대한 작업 영역 연결이 실패합니다.

전용 클러스터에 대한 자세한 내용은 Log Analytics 전용 클러스터를 참조하세요.

Azure Data Explorer 또는 보관된 로그를 사용하여 장기 데이터 보존 비용 절감(미리 보기)

Microsoft Sentinel 데이터 보존은 처음 90일 동안 무료입니다. Log Analytics에서 데이터 보존 기간을 조정하려면 왼쪽 탐색 영역에서 사용량 및 예상 비용을 선택하고, 데이터 보존을 선택한 다음, 슬라이더를 조정합니다.

Microsoft Sentinel 보안 데이터는 몇 개월 후에 일부 값이 손실될 수 있습니다. SOC(보안 운영 센터) 사용자는 최신 데이터만큼 이전 데이터에 자주 액세스할 필요가 없지만, 산발적인 조사 또는 감사를 위해 데이터에 액세스해야 할 수도 있습니다.

Microsoft Sentinel 데이터 보존 비용을 줄이는 데 도움이 되도록 Azure Monitor는 이제 보관된 로그를 제공합니다. 보관된 로그는 사용량에 제한이 있는 저렴한 비용으로 최대 7년의 장기간 동안 로그 데이터를 저장합니다. 보관된 로그는 공개 미리 보기에 있습니다. 자세한 내용은 Azure Monitor Logs에서 데이터 보존 및 보관 정책 구성을 참조하세요.

또는 Azure Data Explorer를 사용하여 더 저렴한 비용으로 장기간 데이터를 보존할 수 있습니다. Azure Data Explorer는 더 이상 Microsoft Sentinel 보안 인텔리전스가 필요하지 않은 오래된 데이터에 대해 비용과 유용성의 적절한 균형을 제공합니다.

Azure Data Explorer를 사용하면 더 저렴한 가격으로 데이터를 저장할 수 있지만 Microsoft Sentinel에서와 동일한 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 데이터를 탐색할 수 있습니다. Azure Data Explorer 프록시 기능을 사용하여 플랫폼 간 쿼리를 수행할 수도 있습니다. 이러한 쿼리는 Azure Data Explorer, Application Insights, Microsoft Sentinel 및 Log Analytics 전반에 걸쳐 분산된 데이터를 집계하고 상호 연관시킵니다.

자세한 내용은 장기 로그 보존을 위한 Azure Data Explorer 통합을 참조하세요.

Windows 보안 이벤트에 대한 데이터 수집 규칙 사용

Windows 보안 이벤트 커넥터를 사용하면 물리적, 가상, 온-프레미스 서버 또는 클라우드를 포함하여 Microsoft Sentinel 작업 영역에 연결된 Windows Server를 실행하는 컴퓨터에서 보안 이벤트를 스트리밍할 수 있습니다. 이 커넥터에는 데이터 수집 규칙을 사용하여 각 에이전트에서 수집할 데이터를 정의하는 Azure Monitor 에이전트에 대한 지원이 포함되어 있습니다.

데이터 수집 규칙을 사용하면 수집 설정을 대규모로 관리하면서도 계속해서 머신의 하위 집합에 대해 고유하고 범위가 지정된 구성을 사용할 수 있습니다. 자세한 정보는 Azure Monitor 에이전트를 위한 데이터 수집 구성을 참조하세요.

모든 이벤트, 최소 또는 일반과 같이 수집하도록 선택할 수 있는 미리 정의된 이벤트 집합 외에도 데이터 수집 규칙을 사용하면 사용자 지정 필터를 빌드하고 수집할 특정 이벤트를 선택할 수 있습니다. Azure Monitor 에이전트는 이러한 규칙을 사용하여 원본의 데이터를 필터링한 다음, 선택한 이벤트만 수집하고 다른 이벤트는 모두 남겨 둡니다. 수집할 특정 이벤트를 선택하면 비용을 최적화하고 더 줄일 수 있습니다.

다음 단계

• Microsoft Cost Management를 통해 클라우드 투자를 최적화하는 방법에 대해 알아봅니다.
• 비용 분석을 통한 비용 관리에 대해 자세히 알아봅니다.
• 예기치 않은 비용 방지 방법에 대해 알아봅니다.
• Cost Management 단계별 학습 과정을 수강합니다.
• Log Analytics 데이터 볼륨을 줄이는 방법에 관한 자세한 팁은 Azure Monitor 모범 사례 - 비용 관리를 참조하세요.