Delen via


Kosten verlagen voor Microsoft Sentinel

De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten in uw Azure-factuur. Hoewel in dit artikel wordt uitgelegd hoe u de kosten voor Microsoft Sentinel kunt verlagen, wordt u gefactureerd voor alle Azure-services en -resources die door uw Azure-abonnement worden gebruikt, inclusief partnerservices.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Prijscategorie instellen of wijzigen

Om voor maximale besparingen te optimaliseren, controleert u uw gegevensinname om ervoor te zorgen dat u het toewijdingsniveau hebt dat het beste aansluit bij uw dataverkeerpatronen. Overweeg om uw toezeggingslaag te verhogen of te verlagen om te worden afgestemd op gewijzigde gegevensvolumes.

U kunt uw toezeggingslaag op elk gewenst moment verhogen, waardoor de toezeggingsperiode van 31 dagen opnieuw wordt gestart. Als u echter wilt terugkeren naar betalen per gebruik of naar een lagere toezeggingslaag, moet u wachten totdat de toezeggingsperiode van 31 dagen is voltooid. Facturering voor toezeggingsniveaus vindt dagelijks plaats.

Als u de huidige Prijscategorie van Microsoft Sentinel wilt zien, selecteert u Instellingen in het linkernavigatievenster van Microsoft Sentinel en selecteert u vervolgens het tabblad Prijzen . Uw huidige prijscategorie is gemarkeerd als Huidige laag.

Om uw prijsniveau te wijzigen, selecteert u een van de andere opties op de prijspagina en selecteert u Toepassen. U moet inzender of eigenaar voor de Microsoft Sentinel-werkruimte hebben om de prijscategorie te wijzigen.

Schermopname van de pagina met prijzen in microsoft Sentinel-instellingen, waarbij betalen per gebruik is geselecteerd als huidige prijscategorie.

Zie Kosten voor Microsoft Sentinel beheren en bewaken voor meer informatie over het bewaken van uw kosten.

Voor werkruimten die nog steeds gebruikmaken van klassieke prijscategorieën, bevatten de Prijscategorieën van Microsoft Sentinel geen Log Analytics-kosten. Zie Vereenvoudigde prijscategorieën voor meer informatie.

Koop een vooraankoopplan

Bespaar op uw Microsoft Sentinel-kosten wanneer u Microsoft Sentinel-verplichtingseenheden (CU's) vooraf aanschaft. Gebruik de vooraf gekochte CA's op elk gewenst moment tijdens de aankooptermijn van één jaar.

Alle in aanmerking komende Microsoft Sentinel-kosten worden automatisch eerst afgetrokken van de vooraf gekochte CU's. U hoeft geen voorafgekocht plan opnieuw in te zetten of toe te wijzen aan uw Microsoft Sentinel-werkruimten om gebruik te maken van de vooraf in te kopen CU-kortingen.

Zie Microsoft Sentinel-kosten optimaliseren met een abonnement vóór aankoop voor meer informatie.

Scheid niet-beveiligingsgegevens in een andere werkruimte

Microsoft Sentinel analyseert alle gegevens die zijn opgenomen in Log Analytics-werkruimten met Microsoft Sentinel. Het is raadzaam om een afzonderlijke werkruimte te hebben voor niet-beveiligingsbewerkingsgegevens, om ervoor te zorgen dat er geen Microsoft Sentinel-kosten in rekening worden gebracht.

Bij het opsporen of onderzoeken van bedreigingen in Microsoft Sentinel moet u mogelijk toegang krijgen tot operationele gegevens die zijn opgeslagen in deze zelfstandige Azure Log Analytics-werkruimten. U kunt toegang krijgen tot deze gegevens door gebruik te maken van query's voor meerdere werkruimten in de logboekverkenning en rapporten. U kunt echter geen analyseregels en opsporingsquery's voor meerdere werkruimten gebruiken, tenzij Microsoft Sentinel is ingeschakeld voor alle werkruimten.

Goedkope logboektypen selecteren voor gegevens met een hoog volume, lage waarde

Hoewel standaardanalyselogboeken het meest geschikt zijn voor continue, realtime bedreigingsdetectie, zijn twee andere logboektypen( basislogboeken en hulplogboeken) geschikter voor ad-hocquery's en het zoeken naar uitgebreide logboeken met grote volumes, lage waarden die niet vaak nodig zijn of die niet op aanvraag worden geopend. basis opname van loggegevens tegen aanzienlijk lagere kosten, of hulpgegevensopname tegen zelfs nog lagere kosten, voor in aanmerking komende gegevenstabellen. Zie Prijzen voor Microsoft Sentinel voor meer informatie.

Kosten van Log Analytics optimaliseren met toegewezen clusters

Als u ten minste 100 GB opneemt in uw Microsoft Sentinel-werkruimte of werkruimten in dezelfde regio, kunt u overwegen om over te stappen op een toegewezen Log Analytics-cluster om de kosten te verlagen. Een toegewezen cluster Commitment Tier in Log Analytics aggregeert het gegevensvolume over werkruimten die gezamenlijk 100 GB of meer opnemen. Zie Vereenvoudigde prijscategorie voor toegewezen clusters voor meer informatie.

U kunt meerdere Microsoft Sentinel-werkruimten toevoegen aan een toegewezen Log Analytics-cluster. Er zijn een aantal voordelen voor het gebruik van een toegewezen Log Analytics-cluster voor Microsoft Sentinel:

  • Query's tussen werkruimten worden sneller uitgevoerd als alle werkruimten die betrokken zijn bij de query zich in het toegewezen cluster bevinden. Het is nog steeds het beste om zo weinig mogelijk werkruimten in uw omgeving te hebben en een toegewezen cluster behoudt nog steeds de limiet van 100 werkruimten voor opname in één query voor meerdere werkruimten.

  • Alle werkruimten in het toegewezen cluster kunnen de Log Analytics-toezeggingslaag die is ingesteld op het cluster delen. Het niet verplichten van afzonderlijke Log Analytics-toezeggingslagen voor elke werkruimte kan kostenbesparingen en efficiëntie bieden. Door een toegewezen cluster in te schakelen, voert u een minimale Log Analytics-toezeggingslaag van 100 GB per dag in.

Hier volgen enkele andere overwegingen voor het verplaatsen naar een toegewezen cluster voor kostenoptimalisatie:

  • Het maximum aantal clusters per regio en abonnement is twee.
  • Alle werkruimten die zijn gekoppeld aan een cluster, moeten zich in dezelfde regio bevinden.
  • Het maximum aantal werkruimten dat is gekoppeld aan een cluster is 1000.
  • U kunt een gekoppelde werkruimte loskoppelen van uw cluster. Het aantal koppelingsbewerkingen voor een bepaalde werkruimte is beperkt tot twee in een periode van 30 dagen.
  • U kunt een bestaande werkruimte niet verplaatsen naar een CMK-cluster (Managed Key) van de klant. Je moet de werkruimte in het cluster aanmaken.
  • Het verplaatsen van een cluster naar een andere resourcegroep of een ander abonnement wordt momenteel niet ondersteund.
  • Een werkruimtekoppeling naar een cluster mislukt als de werkruimte is gekoppeld aan een ander cluster.

Zie Toegewezen Log Analytics-clusters voor meer informatie over toegewezen clusters.

Kosten voor gegevensretentie verlagen met langetermijnretentie

Microsoft Sentinel bewaart gegevens standaard in interactieve vorm gedurende de eerste 90 dagen. Als u de gegevensretentieperiode in Log Analytics wilt aanpassen, selecteert u Gebruik en geschatte kosten in de linkernavigatiebalk, selecteert u Gegevensretentie en past u vervolgens de schuifregelaar aan.

Microsoft Sentinel-beveiligingsgegevens verliezen mogelijk enkele van de waarde ervan na een paar maanden. Soc-gebruikers (Security Operations Center) hoeven mogelijk niet zo vaak toegang te krijgen tot oudere gegevens als nieuwere gegevens, maar moeten mogelijk nog steeds toegang hebben tot de gegevens voor sporadische onderzoeken of controledoeleinden.

Om u te helpen de kosten voor gegevensretentie van Microsoft Sentinel te verminderen, biedt Azure Monitor nu langetermijnretentie. Gegevens die ouder zijn dan de interactieve bewaarstatus, kunnen nog steeds maximaal twaalf jaar worden bewaard, tegen veel lagere kosten en met beperkingen voor het gebruik ervan. Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie.

U kunt de kosten nog verder verlagen door tabellen te registreren die secundaire beveiligingsgegevens bevatten in het plan Hulplogboeken . Met dit plan kunt u logboeken met een hoog volume, lage waarde opslaan tegen een lage prijs, met een goedkopere interactieve bewaarperiode van 30 dagen aan het begin om samenvatting en eenvoudige query's mogelijk te maken. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over het hulplogboekplan en andere plannen.

Regels voor gegevensverzameling gebruiken voor uw Windows-beveiliging-gebeurtenissen

Met de Connector voor Windows-beveiligingsgebeurtenissen kunt u beveiligingsgebeurtenissen streamen vanaf elke computer waarop Windows Server wordt uitgevoerd die is verbonden met uw Microsoft Sentinel-werkruimte, inclusief fysieke, virtuele of on-premises servers, of in een cloud. Deze connector bevat ondersteuning voor de Azure Monitor-agent, die gebruikmaakt van regels voor het verzamelen van gegevens om de gegevens te definiëren die van elke agent moeten worden verzameld.

Met regels voor gegevensverzameling kunt u verzamelingsinstellingen op schaal beheren, terwijl u nog steeds unieke, bereikconfiguraties toestaat voor subsets van machines. Zie Gegevensverzameling configureren voor de Azure Monitor-agent voor meer informatie.

Naast de vooraf gedefinieerde sets gebeurtenissen die u kunt selecteren om te verwerken, zoals Alle Gebeurtenissen, Minimale of Algemene, kunt u aangepaste filters maken en specifieke gebeurtenissen selecteren die kunnen worden verwerkt. De Azure Monitor-agent gebruikt deze regels om de gegevens bij de bron te filteren en neem vervolgens alleen de gebeurtenissen op die u hebt geselecteerd, terwijl alles achterblijft. Door specifieke gebeurtenissen te selecteren die u wilt opnemen, kunt u uw kosten optimaliseren en meer besparen.

Volgende stappen