Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Kostnader for Microsoft Sentinel er bare en del av de månedlige kostnadene i Azure fakturaen. Selv om denne artikkelen forklarer hvordan du reduserer kostnader for Microsoft Sentinel, faktureres du for alle Azure tjenester og ressurser som Azure abonnementet bruker, inkludert partnertjenester.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Angi eller endre prisnivå
Hvis du vil optimalisere for de høyeste besparelsene, kan du overvåke inntaksvolumet for å sikre at du har forpliktelsesnivået som passer best til inntaksvolummønstrene dine. Vurder å øke eller redusere forpliktelsesnivået for å justere med endrede datavolumer.
Du kan øke forpliktelsesnivået når som helst, noe som starter den 31-dagers forpliktelsesperioden på nytt. Hvis du vil gå tilbake til betal for bruk eller til et lavere forpliktelsesnivå, må du vente til etter at den 31-dagers forpliktelsesperioden er ferdig. Fakturering for forpliktelsesnivåer er daglig.
Hvis du vil se gjeldende Microsoft Sentinel prisnivå, velger du Innstillinger i Microsoft Sentinel venstre navigasjonsrute, og deretter velger du Priser-fanen. Gjeldende prisnivå er merket gjeldende nivå.
Hvis du vil endre prisnivåforpliktelsen, velger du ett av de andre nivåene på prissiden, og deretter velger du Bruk. Du må ha bidragsyter eller eier for det Microsoft Sentinel arbeidsområdet for å endre prisnivået.
Hvis du vil lære mer om hvordan du overvåker kostnadene, kan du se Administrere og overvåke kostnader for Microsoft Sentinel.
For arbeidsområder som fortsatt bruker klassiske prisnivåer, inkluderer ikke Microsoft Sentinel prisnivåer Log Analytics-gebyrer. Hvis du vil ha mer informasjon, kan du se Forstå den fullstendige faktureringsmodellen for Microsoft Sentinel.
Kjøpe en forhåndskjøpsplan
Spar penger på Microsoft Sentinel analysenivåkostnader når du forhåndskjøper Microsoft Sentinel utføringsenheter (CU-er). Bruk de forhåndskjøpte CUs når som helst i løpet av ett års kjøpsperiode.
Eventuelle kvalifiserte Microsoft Sentinel kostnader trekkes først fra de forhåndskjøpte CUs automatisk. Du trenger ikke å distribuere på nytt eller tilordne en forhåndskjøpt plan til Microsoft Sentinel arbeidsområder for CU-bruken for å få forhåndskjøpte rabatter.
Hvis du vil ha mer informasjon, kan du se Optimalisere Microsoft Sentinel kostnader med en forhåndskjøpsplan.
Skill ikke-sikkerhetsrelaterte data i et annet arbeidsområde
Microsoft Sentinel analyserer alle dataene som er tatt inn i Microsoft Sentinel-aktiverte Log Analytics-arbeidsområder. Det er best å ha et eget arbeidsområde for ikke-sikkerhetsrelaterte operasjonsdata for å sikre at det ikke pådrar seg Microsoft Sentinel kostnader.
Bruk Microsoft Sentinel datasjøen for lavere gjengivelse eller sekundære sikkerhetsdata
Selv om analysenivået er mest egnet for kontinuerlig trusselregistrering i sanntid, er Microsoft Sentinel datasjøen godt egnet for spørring og analyse av sekundære sikkerhetsdata som ikke er nødvendig for trusselregistrering i sanntid. Microsoft Sentinel datasjøen tilbyr inntak og lagring til en betydelig redusert kostnad. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel Priser.
Optimaliser Log Analytics-kostnader med dedikerte klynger
Hvis du inntar minst 100 GB i Microsoft Sentinel arbeidsområde eller arbeidsområder i samme område, bør du vurdere å flytte til en dedikert Log Analytics-klynge for å redusere kostnadene. Et dedikert klyngeforpliktelsesnivå for Log Analytics samler datavolumet på tvers av arbeidsområder som samlet inntar totalt 100 GB eller mer. Hvis du vil ha mer informasjon, kan du se forenklet prisnivå for dedikert klynge.
Du kan legge til flere Microsoft Sentinel arbeidsområder i en dedikert Log Analytics-klynge. Det finnes et par fordeler ved å bruke en dedikert Log Analytics-klynge for Microsoft Sentinel:
Spørringer på tvers av arbeidsområder kjører raskere hvis alle arbeidsområdene som er involvert i spørringen, er i den dedikerte klyngen. Det er fortsatt best å ha så få arbeidsområder som mulig i miljøet ditt, og en dedikert klynge beholder fortsatt grensen på 100 arbeidsområder for inkludering i én enkelt spørring på tvers av arbeidsområder.
Alle arbeidsområder i den dedikerte klyngen kan dele log analytics-forpliktelsesnivået som er angitt på klyngen. Hvis du ikke må forplikte deg til separate log analytics-forpliktelsesnivåer for hvert arbeidsområde, kan det gi kostnadsbesparelser og effektivitet. Ved å aktivere en dedikert klynge forplikter du deg til et minimum nivå for Log Analytics-forpliktelse på 100 GB inntak per dag.
Her er noen andre hensyn for å flytte til en dedikert klynge for kostnadsoptimalisering:
- Maksimalt antall klynger per område og abonnement er to.
- Alle arbeidsområder som er koblet til en klynge, må være i samme område.
- Maksimalt antall arbeidsområder som er koblet til en klynge, er 1000.
- Du kan koble fra et koblet arbeidsområde fra klyngen. Antall koblingsoperasjoner på et bestemt arbeidsområde er begrenset til to i en periode på 30 dager.
- Du kan ikke flytte et eksisterende arbeidsområde til en kundeadministrert nøkkelklynge (CMK). Du må opprette arbeidsområdet i klyngen.
- Flytting av en klynge til en annen ressursgruppe eller et annet abonnement støttes for øyeblikket ikke.
- En arbeidsområdekobling til en klynge mislykkes hvis arbeidsområdet er koblet til en annen klynge.
Hvis du vil ha mer informasjon om dedikerte klynger, kan du se Dedikerte log analytics-klynger.
Redusere kostnader for dataoppbevaring med total oppbevaring
Microsoft Sentinel beholder data på analysenivå som standard de første 90 dagene i analyseoppbevaring. Etter hvert som dataene blir eldre, mister den verdien for sanntidsanalyse og -undersøkelser. Brukere av sikkerhetsoperasjonssenteret (SOC) får kanskje ikke tilgang til eldre data så ofte, men vil fortsatt ha tilgang til dataene for bredere historiske undersøkelser eller revisjonsformål. Total oppbevaring er tilgjengelig for å hjelpe deg med å redusere Microsoft Sentinel kostnader for dataoppbevaring. Data som eldes ut av sin analyseoppbevaringstilstand, kan fortsatt beholdes, til en mye redusert kostnad, og nås ved hjelp av data lake exploration-funksjoner. Hvis du vil ha mer informasjon, kan du se Lake Exploration, KQL-spørringer.
Bruk databehandlingstabeller > til å justere analyse- og total oppbevaringsperioden.
Bruke datainnsamlingsregler for Windows Sikkerhet-hendelser
Med koblingen Windows Sikkerhet Events kan du strømme sikkerhetshendelser fra enhver datamaskin som kjører Windows Server som er koblet til Microsoft Sentinel arbeidsområdet, inkludert fysiske, virtuelle eller lokale servere, eller i en hvilken som helst sky. Denne koblingen inkluderer støtte for Azure Monitor Agent, som bruker datainnsamlingsregler til å definere dataene som skal samles inn fra hver agent.
Med regler for datainnsamling kan du behandle samlingsinnstillinger i stor skala, samtidig som du tillater unike konfigurasjoner med omfang for delsett av maskiner. Hvis du vil ha mer informasjon, kan du se Konfigurere datainnsamling for Azure Monitor Agent.
I tillegg til de forhåndsdefinerte settene med hendelser som du kan velge å ta inn, for eksempel Alle hendelser, Minimal eller Felles, kan du bruke datainnsamlingsregler til å bygge egendefinerte filtre og velge bestemte hendelser som skal inntas. Den Azure monitoragenten bruker disse reglene til å filtrere dataene i kilden, og deretter innta bare hendelsene du valgte, samtidig som alt annet er igjen. Hvis du velger bestemte hendelser som skal tas inn, kan du få hjelp til å optimalisere kostnadene og spare mer.
Neste trinn
- Finn ut hvordan du optimaliserer skyinvesteringen med Microsoft Cost Management.
- Mer informasjon om administrasjon av kostnader med kostnadsanalyse.
- Finn ut hvordan du forhindrer uventede kostnader.
- Ta veiledet læringskurs for Kostnadsstyring .
- Hvis du vil ha flere tips om hvordan du reduserer datavolumet for Log Analytics, kan du se Azure Overvåke anbefalte fremgangsmåter – Kostnadsstyring.
- Hvis du vil vite mer om Microsoft Sentinel datasjøen, kan du se Microsoft Sentinel datasjøen.
- Hvis du vil Microsoft Sentinel datasjøen om bord, kan du se pålastingsdata for å Microsoft Sentinel datasjøen.