Kosten voor Microsoft Sentinel beheren en bewaken

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nadat u microsoft Sentinel-resources hebt gebruikt, gebruikt u Cost Management-functies om budgetten in te stellen en de kosten te bewaken. U kunt ook geraamde kosten bekijken en uitgaventrends identificeren om gebieden te identificeren waar u mogelijk actie wilt ondernemen.

De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten in uw Azure-factuur. Hoewel in dit artikel wordt uitgelegd hoe u kosten voor Microsoft Sentinel beheert en bewaakt, wordt u gefactureerd voor alle Azure-services en -resources die door uw Azure-abonnement worden gebruikt, inclusief partnerservices.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Als u kostengegevens wilt weergeven en kostenanalyse wilt uitvoeren in Cost Management, moet u een ondersteund Azure-accounttype hebben, met ten minste leestoegang.

Hoewel kostenanalyse in Cost Management de meeste Typen Azure-accounts ondersteunt, worden niet alle ondersteund. Zie voor de volledige lijst met ondersteunde accounttypen Gegevens van Azure Cost Management begrijpen.

Zie Toegang tot gegevens toewijzen voor informatie over het toewijzen van toegang tot Microsoft Cost Management-gegevens.

Kosten weergeven met behulp van kostenanalyse

Wanneer u Azure-resources gebruikt met Microsoft Sentinel, worden er kosten in rekening gebracht. De kosten voor azure-resourcegebruikseenheden variëren per tijdsinterval, zoals seconden, minuten, uren en dagen, of per eenheidsgebruik, zoals bytes en megabytes. Zodra Microsoft Sentinel factureerbare gegevens gaat analyseren, worden er kosten in rekening gebracht. Bekijk deze kosten met behulp van kostenanalyse in Azure Portal. Zie Aan de slag met kostenanalyse voor meer informatie.

Wanneer u kostenanalyse gebruikt, bekijkt u microsoft Sentinel-kosten in grafieken en tabellen voor verschillende tijdsintervallen. Enkele voorbeelden zijn per dag, huidige en vorige maand en jaar. U kunt ook kosten weergeven op basis van budgetten en geraamde kosten. Als u overschakelt naar langere weergaven in de loop van de tijd, kunt u uitgaventrends identificeren. En u ziet waar overbesteding mogelijk is opgetreden. Als u budgetten hebt gemaakt, kunt u ook eenvoudig zien waar ze worden overschreden.

De Microsoft Cost Management + Billing-hub biedt nuttige functionaliteit. Nadat u Cost Management + Billing hebt geopend in Azure Portal, selecteert u Cost Management in het linkernavigatievenster en selecteert u vervolgens het bereik of de set resources die u wilt onderzoeken, zoals een Azure-abonnement of resourcegroep.

In het scherm Kostenanalyse ziet u gedetailleerde weergaven van uw Azure-gebruik en -kosten, met de optie om verschillende besturingselementen en filters toe te passen.

Als u bijvoorbeeld grafieken wilt bekijken van uw dagelijkse kosten voor een bepaald tijdsbestek:

  1. Selecteer de vervolgkeuzelijst in het veld Weergave en selecteer Geaccumuleerde kosten of Dagelijkse kosten.

  2. Selecteer de vervolgkeuzelijst in het datumveld en selecteer een datumbereik.

  3. Selecteer de vervolgkeuzelijst naast Granulariteit en selecteer Dagelijks.

    De kosten die in de volgende afbeelding worden weergegeven, zijn alleen bedoeld voor voorbeelddoeleinden. Ze zijn niet bedoeld om de werkelijke kosten weer te geven.

    Schermopname van een scherm kostenbeheer en factureringskostenanalyse.

U kunt ook verdere besturingselementen toepassen. Als u bijvoorbeeld alleen de kosten wilt weergeven die zijn gekoppeld aan Microsoft Sentinel, selecteert u Filter toevoegen, selecteert u Servicenaam en selecteert u vervolgens de servicenamen Sentinel, Log Analytics en Azure Monitor.

Microsoft Sentinel-gegevensopnamevolumes worden weergegeven onder Security Insights in sommige portalgebruiksgrafieken.

De klassieke prijscategorieën van Microsoft Sentinel bevatten geen Log Analytics-kosten, dus deze kosten worden mogelijk afzonderlijk gefactureerd. Vereenvoudigde prijzen van Microsoft Sentinel combineren de twee kosten in één set lagen. Zie Vereenvoudigde prijscategorieën voor meer informatie over de vereenvoudigde prijscategorieën van Microsoft Sentinel.

Zie Budgetten maken en kosten verlagen in Microsoft Sentinel voor meer informatie over het verlagen van de kosten.

Azure-vooruitbetaling gebruiken met Microsoft Sentinel

U kunt betalen voor Microsoft Sentinel-kosten met uw Azure-vooruitbetalingstegoed. U kunt echter geen Azure-vooruitbetalingstegoed gebruiken om facturen te betalen aan niet-Microsoft-organisaties voor hun producten en services, of voor producten van Azure Marketplace.

Query's uitvoeren om inzicht te krijgen in uw gegevensopname

Microsoft Sentinel maakt gebruik van een uitgebreide querytaal om binnen enkele seconden inzichten te analyseren, ermee te communiceren en af te leiden van grote hoeveelheden operationele gegevens. Hier volgen enkele Kusto-query's die u kunt gebruiken om inzicht te krijgen in uw gegevensopnamevolume.

Voer de volgende query uit om gegevensopnamevolume per oplossing weer te geven:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Voer de volgende query uit om het gegevensopnamevolume per gegevenstype weer te geven:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Voer de volgende query uit om het volume voor gegevensopname per oplossing en gegevenstype weer te geven:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Een werkmap implementeren om gegevensopname te visualiseren

De werkmap Werkruimtegebruiksrapport biedt de gegevensverbruik, kosten en gebruiksstatistieken van uw werkruimte. De werkmap geeft de gegevensopnamestatus van de werkruimte en de hoeveelheid gratis en factureerbare gegevens. U kunt de werkmaplogica gebruiken om gegevensopname en -kosten te bewaken en aangepaste weergaven en waarschuwingen op basis van regels te maken.

Deze werkmap biedt ook gedetailleerde gegevens over opname. De werkmap bevat de gegevens in uw werkruimte op basis van een gegevenstabel en biedt volumes per tabel en vermelding om u beter inzicht te geven in uw opnamepatronen.

De werkmap Werkruimtegebruiksrapport inschakelen:

  1. Selecteer in het linkernavigatievenster van Microsoft Sentinel de optie Werkmappen voor bedreigingsbeheer>.
  2. Voer het gebruik van de werkruimte in de zoekbalk in en selecteer vervolgens werkruimtegebruiksrapport.
  3. Selecteer Sjabloon weergeven om de workbook in de bestaande staat te gebruiken of selecteer Opslaan om een bewerkbare kopie van de workbook te maken. Als u een kopie opslaat, selecteert u Opgeslagen werkmap weergeven.
  4. Selecteer in de werkmap het abonnement en de werkruimte die u wilt weergeven en stel vervolgens de TimeRange in op het tijdsbestek dat u wilt zien. U kunt de wisselknop Help weergeven instellen op Ja om in-place uitleg in de werkmap weer te geven.

Kostengegevens exporteren

U kunt uw kostengegevens ook exporteren naar ene opslagaccount. Het exporteren van kostengegevens is handig wanneer u of anderen meer gegevensanalyses voor kosten wilt uitvoeren. Een financieel team kan bijvoorbeeld de gegevens analyseren met Excel of Power BI. U kunt uw kosten exporteren volgens een dagelijks, wekelijks of maandelijks schema en een aangepast datumbereik instellen. Kostengegevens exporteren is de aanbevolen manier om kostengegevenssets op te halen.

Budgetten maken

U kunt budgetten maken om kosten te beheren en waarschuwingen te maken waarmee belanghebbenden automatisch worden geïnformeerd over afwijkende uitgaven en het risico om teveel uit te geven. Waarschuwingen zijn gebaseerd op de vergelijking tussen uitgaven en drempelwaarden voor budgetten en kosten. Budgetten en waarschuwingen worden gemaakt voor Azure-abonnementen en -resourcegroepen, zodat ze nuttig zijn als onderdeel van een algehele strategie voor kostenbewaking.

U kunt budgetten maken met filters voor specifieke resources of services in Azure als u meer granulariteit in uw bewaking wilt. Filters helpen ervoor te zorgen dat u niet per ongeluk nieuwe resources maakt die u meer geld kosten. Zie Groeps- en filteropties voor meer informatie over de filteropties die beschikbaar zijn wanneer u een budget maakt.

Een playbook gebruiken voor waarschuwingen voor kostenbeheer

Om u te helpen uw Microsoft Sentinel-budget te beheren, kunt u een playbook voor kostenbeheer maken. Het playbook stuurt u een waarschuwing als uw Microsoft Sentinel-werkruimte binnen een bepaalde periode een budget overschrijdt dat u definieert.

De Microsoft Sentinel GitHub-community biedt het Send-IngestionCostAlert playbook voor kostenbeheer op GitHub. Dit playbook wordt geactiveerd door een terugkeertrigger en biedt u een hoge mate van flexibiliteit. U kunt de uitvoeringsfrequentie, het opnamevolume en het bericht dat moet worden geactiveerd, beheren op basis van uw vereisten.

Een maximum gegevensvolume vaststellen in Log Analytics

In Log Analytics kunt u een dagelijkse volumelimiet inschakelen waarmee de dagelijkse opname voor uw werkruimte wordt beperkt. Met de dagelijkse limiet kunt u onverwachte toenames in het gegevensvolume beheren, binnen uw limiet blijven en ongeplande kosten beperken.

Als u een dagelijkse volumelimiet wilt definiëren, selecteert u Gebruik en geschatte kosten in de linkernavigatiebalk van uw Log Analytics-werkruimte en selecteert u vervolgens Daglimiet. Selecteer Aan, voer een dagelijkse volumelimiet in en selecteer VERVOLGENS OK.

Schermopname van het scherm Gebruik en geschatte kosten en het venster Daglimiet.

In het scherm Gebruik en geschatte kosten ziet u ook de trend van het opgenomen gegevensvolume in de afgelopen 31 dagen en het totale bewaarde gegevensvolume.

Zie Daglimiet instellen voor Log Analytics-werkruimte voor meer informatie.

Volgende stappen