Microsoft Sentinel 비용 절감

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 비용은 Azure 청구서에 있는 월별 비용의 일부일 뿐입니다. 이 문서에서는 Microsoft Sentinel의 비용을 줄이는 방법을 설명하지만 파트너 서비스를 포함하여 Azure 구독에서 사용하는 모든 Azure 서비스 및 리소스에 대해 비용이 청구됩니다.

Important

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

가격 책정 계층 설정 또는 변경

최대 절감 효과를 위해 최적화하려면 수집 볼륨을 모니터링하여 수집 볼륨 패턴과 가장 가깝게 일치하는 약정 계층이 있는지 확인합니다. 변경되는 데이터 볼륨에 맞게 약정 계층을 늘리거나 줄이는 것이 좋습니다.

약정 계층은 언제든지 늘릴 수 있으며, 이 경우 31일의 약정 기간이 다시 시작됩니다. 그러나 종량제 또는 더 낮은 약정 계층으로 다시 이동하려면 31일의 약정 기간이 끝날 때까지 기다려야 합니다. 약정 계층에 대한 요금은 일일 기준으로 청구됩니다.

현재 Microsoft Sentinel 가격 책정 계층을 보려면 Microsoft Sentinel 왼쪽 탐색 메뉴에서 설정을 선택한 다음 가격 책정 탭을 선택합니다. 현재 가격 책정 계층은 현재 계층으로 표시됩니다.

가격 책정 계층 약정을 변경하려면 가격 책정 페이지에서 다른 계층 중 하나를 선택한 다음, 적용을 선택합니다. 가격 책정 계층을 변경하려면 Microsoft Sentinel 작업 영역에 대한 기여자 또는 소유자가 있어야 합니다.

비용을 모니터링하는 방법에 대한 자세한 내용은 Microsoft Sentinel의 비용 관리 및 모니터링을 참조하세요.

여전히 클래식 가격 책정 계층을 사용하는 작업 영역의 경우 Microsoft Sentinel 가격 책정 계층에는 Log Analytics 요금이 포함되지 않습니다. 자세한 내용은 기본 가격 책정 계층을 참조하세요.

다른 작업 영역에서 비보안 데이터 구분

Microsoft Sentinel은 Microsoft Sentinel 지원 Log Analytics 작업 영역으로 수집된 모든 데이터를 분석합니다. Microsoft Sentinel 비용이 발생하지 않도록 비보안 작업 데이터를 위한 별도의 작업 영역을 갖는 것이 가장 좋습니다.

Microsoft Sentinel에서 위협을 헌팅하거나 조사하는 경우 이러한 독립 실행형 Azure Log Analytics 작업 영역에 저장된 작동 데이터에 액세스해야 할 수 있습니다. 이 데이터는 로그 검색 환경 및 통합 문서에서 작업 영역 간 쿼리를 사용하여 액세스할 수 있습니다. 그러나 모든 작업 영역에서 Microsoft Sentinel이 사용하도록 설정되어 있지 않으면 교차 작업 영역 분석 규칙 및 헌팅 쿼리를 사용할 수 없습니다.

대용량 저가 데이터에 대한 저비용 로그 유형 선택

표준 분석 로그는 연속적인 실시간 위협 탐지에 가장 적합하지만, 다른 두 로그 유형인 기본 로그와 보조 로그는 자주 필요하지 않거나 요청 시 액세스되는 자세한 대용량 저가 로그의 임시 쿼리 및 검색에 더 적합합니다. 적격 데이터 테이블에 대해 상당히 감소된 비용으로 기본 로그 데이터 수집을 사용하도록 설정하거나, 훨씬 더 저렴한 비용으로 보조 로그 데이터 수집(현재 미리 보기 상태)을 사용하도록 설정합니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

• Microsoft Sentinel의 로그 보존 계획
• 보조 로그 수집에 사용할 로그 원본

전용 클러스터를 사용하여 Log Analytics 비용 최적화

Microsoft Sentinel 작업 영역 또는 동일한 지역의 작업 영역에 500GB 이상을 수집하는 경우 비용을 줄이기 위해 Log Analytics 전용 클러스터로 이동하는 것이 좋습니다. Log Analytics 전용 클러스터 약정 계층은 총 500GB 이상을 수집하는 작업 영역에서 데이터 볼륨을 집계합니다. 자세한 내용은 전용 클러스터에 대한 기본 가격 책정 계층을 참조하세요.

Log Analytics 전용 클러스터에 여러 Microsoft Sentinel 작업 영역을 추가할 수 있습니다. Microsoft Sentinel용 Log Analytics 전용 클러스터를 사용하면 다음과 같은 몇 가지 이점이 있습니다.

• 쿼리와 관련된 모든 작업 영역이 전용 클러스터에 있는 경우 작업 영역 간 쿼리가 더 빠르게 실행됩니다. 아직도 환경에서 작업 영역을 가능한 한 적게 유지하는 것이 가장 좋으며, 전용 클러스터는 작업 영역 간 단일 쿼리에 포함하기 위해 여전히 100개의 작업 영역 제한을 유지합니다.

• 전용 클러스터의 모든 작업 영역은 클러스터에 설정된 Log Analytics 약정 계층을 공유할 수 있습니다. 각 작업 영역에 대해 별도의 Log Analytics 약정 계층을 약정할 필요가 없으므로 비용을 절감하고 효율성을 높일 수 있습니다. 전용 클러스터를 사용하도록 설정하면 500GB 이상 수집의 Log Analytics 약정 계층이 약정됩니다.

비용 최적화를 위해 전용 클러스터로 이동할 때 고려해야 할 몇 가지 사항은 다음과 같습니다.

• 지역 및 구독당 최대 클러스터 수는 2개입니다.
• 클러스터에 연결되는 모든 작업 영역은 동일한 지역에 있어야 합니다.
• 클러스터에 연결되는 최대 작업 영역은 1,000개입니다.
• 클러스터에서 연결된 작업 영역의 연결을 해제할 수 있습니다. 특정 작업 영역에 대한 연결 작업의 수는 30일 동안 2개로 제한됩니다.
• 기존 작업 영역을 CMK(고객 관리형 키) 클러스터로 이동할 수 없습니다. 클러스터에 작업 영역을 만들어야 합니다.
• 클러스터를 다른 리소스 그룹 또는 구독으로 이동하는 것은 현재 지원되지 않습니다.
• 작업 영역이 다른 클러스터에 연결된 경우 클러스터에 대한 작업 영역 연결이 실패합니다.

전용 클러스터에 대한 자세한 내용은 Log Analytics 전용 클러스터를 참조하세요.

장기 데이터 보존으로 데이터 보존 비용 절감

Microsoft Sentinel은 처음 90일 동안 기본적으로 대화형 형식으로 데이터를 유지합니다. Log Analytics에서 데이터 보존 기간을 조정하려면 왼쪽 탐색 영역에서 사용량 및 예상 비용을 선택하고, 데이터 보존을 선택한 다음, 슬라이더를 조정합니다.

Microsoft Sentinel 보안 데이터는 몇 개월 후에 일부 값이 손실될 수 있습니다. SOC(보안 운영 센터) 사용자는 최신 데이터만큼 이전 데이터에 자주 액세스할 필요가 없지만, 산발적인 조사 또는 감사를 위해 데이터에 액세스해야 할 수도 있습니다.

Microsoft Sentinel 데이터 보존 비용을 줄이는 데 도움이 되도록 Azure Monitor는 이제 장기 보존을 제공합니다. 대화형 보존 상태를 오래 유지한 데이터는 훨씬 더 낮은 비용으로 사용을 덜 제한하면서 최대 12년 동안 보존할 수 있습니다. 자세한 내용은 Log Analytics 작업 영역에서 데이터 보존 관리를 참조하세요.

보조 로그 계획(현재 미리 보기 상태임)에 보조 보안 데이터가 포함된 테이블을 등록하여 비용을 좀 더 줄일 수 있습니다. 이 계획을 사용하면 저렴한 가격으로 대용량 저가 로그를 저장할 수 있으며, 처음에 요약 및 기본 쿼리를 허용하기 위해 낮은 비용으로 30일간의 대화형 보존 기간을 제공합니다. 보조 로그 계획 및 기타 계획에 대해 자세히 알아보려면 Microsoft Sentinel의 로그 보존 계획을 참조하세요. 보조 로그 계획은 미리 보기로 유지되지만 기본 로그 계획에 이러한 테이블을 등록하는 옵션도 제공됩니다. 기본 로그는 보조 로그와 비슷한 기능을 제공하지만 비용 절감 효과는 떨어집니다.

Windows 보안 이벤트에 대한 데이터 수집 규칙 사용

Windows 보안 이벤트 커넥터를 사용하면 물리적, 가상, 온-프레미스 서버 또는 클라우드를 포함하여 Microsoft Sentinel 작업 영역에 연결된 Windows Server를 실행하는 컴퓨터에서 보안 이벤트를 스트리밍할 수 있습니다. 이 커넥터에는 데이터 수집 규칙을 사용하여 각 에이전트에서 수집할 데이터를 정의하는 Azure Monitor 에이전트에 대한 지원이 포함되어 있습니다.

데이터 수집 규칙을 사용하면 수집 설정을 대규모로 관리하면서도 계속해서 머신의 하위 집합에 대해 고유하고 범위가 지정된 구성을 사용할 수 있습니다. 자세한 정보는 Azure Monitor 에이전트를 위한 데이터 수집 구성을 참조하세요.

모든 이벤트, 최소 또는 일반과 같이 수집하도록 선택할 수 있는 미리 정의된 이벤트 집합 외에도 데이터 수집 규칙을 사용하면 사용자 지정 필터를 빌드하고 수집할 특정 이벤트를 선택할 수 있습니다. Azure Monitor 에이전트는 이러한 규칙을 사용하여 원본의 데이터를 필터링한 다음, 선택한 이벤트만 수집하고 다른 이벤트는 모두 남겨 둡니다. 수집할 특정 이벤트를 선택하면 비용을 최적화하고 더 줄일 수 있습니다.

다음 단계

• Microsoft Cost Management를 통해 클라우드 투자를 최적화하는 방법에 대해 알아봅니다.
• 비용 분석을 통한 비용 관리에 대해 자세히 알아봅니다.
• 예기치 않은 비용 방지 방법에 대해 알아봅니다.
• Cost Management 단계별 학습 과정을 수강합니다.
• Log Analytics 데이터 볼륨을 줄이는 방법에 관한 자세한 팁은 Azure Monitor 모범 사례 - 비용 관리를 참조하세요.