Kosten verlagen voor Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten in uw Azure-factuur. Hoewel in dit artikel wordt uitgelegd hoe u de kosten voor Microsoft Sentinel kunt verlagen, wordt u gefactureerd voor alle Azure-services en -resources die door uw Azure-abonnement worden gebruikt, inclusief partnerservices.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Prijscategorie instellen of wijzigen

Als u wilt optimaliseren voor de hoogste besparingen, controleert u uw opnamevolume om ervoor te zorgen dat u de toezeggingslaag hebt die het meest overeenkomt met uw opnamevolumepatronen. Overweeg om uw toezeggingslaag te verhogen of te verlagen om te worden afgestemd op gewijzigde gegevensvolumes.

U kunt uw toezeggingslaag op elk gewenst moment verhogen, waardoor de toezeggingsperiode van 31 dagen opnieuw wordt gestart. Als u echter wilt terugkeren naar betalen per gebruik of naar een lagere toezeggingslaag, moet u wachten totdat de toezeggingsperiode van 31 dagen is voltooid. Facturering voor toezeggingslagen is dagelijks.

Als u de huidige prijscategorie van Microsoft Sentinel wilt zien, selecteert u Instellingen in het linkernavigatievenster van Microsoft Sentinel en selecteert u vervolgens het tabblad Prijzen. Uw huidige prijscategorie is gemarkeerd als Huidige laag.

Als u de toezegging van uw prijscategorie wilt wijzigen, selecteert u een van de andere lagen op de pagina met prijzen en selecteert u Vervolgens Toepassen. U moet inzender of eigenaar voor de Microsoft Sentinel-werkruimte hebben om de prijscategorie te wijzigen.

Zie Kosten voor Microsoft Sentinel beheren en bewaken voor meer informatie over het bewaken van uw kosten.

Voor werkruimten die nog steeds gebruikmaken van klassieke prijscategorieën, bevatten de Prijscategorieën van Microsoft Sentinel geen Log Analytics-kosten. Zie Vereenvoudigde prijscategorieën voor meer informatie.

Niet-beveiligingsgegevens in een andere werkruimte scheiden

Microsoft Sentinel analyseert alle gegevens die zijn opgenomen in Log Analytics-werkruimten met Microsoft Sentinel. Het is raadzaam om een afzonderlijke werkruimte te hebben voor niet-beveiligingsbewerkingsgegevens, om ervoor te zorgen dat er geen Microsoft Sentinel-kosten in rekening worden gebracht.

Bij het opsporen of onderzoeken van bedreigingen in Microsoft Sentinel moet u mogelijk toegang krijgen tot operationele gegevens die zijn opgeslagen in deze zelfstandige Azure Log Analytics-werkruimten. U kunt toegang krijgen tot deze gegevens met behulp van query's voor meerdere werkruimten in de logboekverkenningservaring en werkmappen. U kunt echter geen analyseregels en opsporingsquery's voor meerdere werkruimten gebruiken, tenzij Microsoft Sentinel is ingeschakeld voor alle werkruimten.

Gegevensopname van basislogboeken inschakelen voor gegevens met een lage beveiligingswaarde van hoog volume (preview)

In tegenstelling tot analyselogboeken zijn basislogboeken doorgaans uitgebreid. Ze bevatten een combinatie van gegevens met een hoge volume- en lage beveiligingswaarde die niet vaak worden gebruikt of op aanvraag worden gebruikt voor ad-hocquery's, onderzoeken en zoeken. Schakel eenvoudige logboekgegevensopname in tegen een aanzienlijk lagere kosten voor in aanmerking komende gegevenstabellen. Zie Prijzen voor Microsoft Sentinel voor meer informatie.

Kosten van Log Analytics optimaliseren met toegewezen clusters

Als u ten minste 500 GB opneemt in uw Microsoft Sentinel-werkruimte of werkruimten in dezelfde regio, kunt u overwegen om over te stappen op een toegewezen Log Analytics-cluster om de kosten te verlagen. Met een toegewezen Log Analytics-cluster commitmentlaag worden gegevensvolume samengevoegd in werkruimten die gezamenlijk 500 GB of meer opnemen. Zie Vereenvoudigde prijscategorie voor toegewezen clusters voor meer informatie.

U kunt meerdere Microsoft Sentinel-werkruimten toevoegen aan een toegewezen Log Analytics-cluster. Er zijn een aantal voordelen voor het gebruik van een toegewezen Log Analytics-cluster voor Microsoft Sentinel:

• Query's tussen werkruimten worden sneller uitgevoerd als alle werkruimten die betrokken zijn bij de query zich in het toegewezen cluster bevinden. Het is nog steeds het beste om zo weinig mogelijk werkruimten in uw omgeving te hebben en een toegewezen cluster behoudt nog steeds de limiet van 100 werkruimten voor opname in één query voor meerdere werkruimten.

• Alle werkruimten in het toegewezen cluster kunnen de Log Analytics-toezeggingslaag die is ingesteld op het cluster delen. Het niet verplichten van afzonderlijke Log Analytics-toezeggingslagen voor elke werkruimte kan kostenbesparingen en efficiëntie bieden. Door een toegewezen cluster in te schakelen, voert u een minimale Log Analytics-toezeggingslaag van 500 GB per dag in.

Hier volgen enkele andere overwegingen voor het verplaatsen naar een toegewezen cluster voor kostenoptimalisatie:

• Het maximum aantal clusters per regio en abonnement is twee.
• Alle werkruimten die zijn gekoppeld aan een cluster, moeten zich in dezelfde regio bevinden.
• Het maximum aantal werkruimten dat is gekoppeld aan een cluster is 1000.
• U kunt een gekoppelde werkruimte loskoppelen van uw cluster. Het aantal koppelingsbewerkingen voor een bepaalde werkruimte is beperkt tot twee in een periode van 30 dagen.
• U kunt een bestaande werkruimte niet verplaatsen naar een CMK-cluster (Managed Key) van de klant. U moet de werkruimte in het cluster maken.
• Het verplaatsen van een cluster naar een andere resourcegroep of een ander abonnement wordt momenteel niet ondersteund.
• Een werkruimtekoppeling naar een cluster mislukt als de werkruimte is gekoppeld aan een ander cluster.

Zie Toegewezen Log Analytics-clusters voor meer informatie over toegewezen clusters.

Kosten voor langetermijnretentie van gegevens verminderen met Azure Data Explorer of gearchiveerde logboeken (preview)

Microsoft Sentinel-gegevensretentie is de eerste 90 dagen gratis. Als u de gegevensretentieperiode in Log Analytics wilt aanpassen, selecteert u Gebruik en geschatte kosten in de linkernavigatiebalk, selecteert u Gegevensretentie en past u vervolgens de schuifregelaar aan.

Microsoft Sentinel-beveiligingsgegevens verliezen mogelijk enkele van de waarde ervan na een paar maanden. Soc-gebruikers (Security Operations Center) hoeven mogelijk niet zo vaak toegang te krijgen tot oudere gegevens als nieuwere gegevens, maar moeten mogelijk nog steeds toegang hebben tot de gegevens voor sporadische onderzoeken of controledoeleinden.

Om u te helpen de kosten voor gegevensretentie van Microsoft Sentinel te verminderen, biedt Azure Monitor nu gearchiveerde logboeken. In gearchiveerde logboeken worden logboekgegevens gedurende lange tijd, maximaal zeven jaar, opgeslagen tegen lagere kosten met beperkingen voor het gebruik ervan. Gearchiveerde logboeken bevinden zich in openbare preview. Zie Gegevensretentie- en archiefbeleid configureren in Azure Monitor-logboeken voor meer informatie.

U kunt Azure Data Explorer ook gebruiken voor langetermijnretentie van gegevens tegen lagere kosten. Azure Data Explorer biedt de juiste balans tussen kosten en bruikbaarheid voor verouderde gegevens die geen beveiligingsinformatie meer nodig hebben voor Microsoft Sentinel.

Met Azure Data Explorer kunt u gegevens tegen een lagere prijs opslaan, maar toch de gegevens verkennen met behulp van dezelfde Kusto-querytaal (KQL)-query's als in Microsoft Sentinel. U kunt ook de azure Data Explorer-proxyfunctie gebruiken om platformoverschrijdende query's uit te voeren. Deze query's aggregeren en correleren gegevens verspreid over Azure Data Explorer, Application Insights, Microsoft Sentinel en Log Analytics.

Zie Azure Data Explorer integreren voor langetermijnretentie van logboeken voor meer informatie.

Regels voor gegevensverzameling gebruiken voor uw Windows-beveiliging-gebeurtenissen

Met de connector Windows-beveiliging gebeurtenissen kunt u beveiligingsgebeurtenissen streamen vanaf elke computer met Windows Server die is verbonden met uw Microsoft Sentinel-werkruimte, met inbegrip van fysieke, virtuele of on-premises servers of in een cloud. Deze connector bevat ondersteuning voor de Azure Monitor-agent, die gebruikmaakt van regels voor het verzamelen van gegevens om de gegevens te definiëren die van elke agent moeten worden verzameld.

Met regels voor gegevensverzameling kunt u verzamelingsinstellingen op schaal beheren, terwijl u nog steeds unieke, bereikconfiguraties toestaat voor subsets van machines. Zie voor meer informatie Gegevensverzameling configureren voor de Azure Monitor-agent.

Naast de vooraf gedefinieerde sets gebeurtenissen die u kunt selecteren om op te nemen, zoals alle gebeurtenissen, minimaal of algemeen, kunt u aangepaste filters maken en specifieke gebeurtenissen selecteren die moeten worden opgenomen. De Azure Monitor-agent gebruikt deze regels om de gegevens bij de bron te filteren en neem vervolgens alleen de gebeurtenissen op die u hebt geselecteerd, terwijl alles achterblijft. Door specifieke gebeurtenissen te selecteren die u wilt opnemen, kunt u uw kosten optimaliseren en meer besparen.

Volgende stappen

• Meer informatie over het optimaliseren van uw investering in de cloud met Microsoft Cost Management.
• Meer informatie over het beheren van kosten met kostenanalyse.
• Meer informatie over het voorkomen van onverwachte kosten.
• Volg de begeleide training voor Cost Management .
• Zie de best practices van Azure Monitor voor kostenbeheer voor meer tips over het verminderen van het log analytics-gegevensvolume.