Obniżanie kosztów usługi Microsoft Sentinel
Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak obniżyć koszty usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Ustawianie lub zmienianie warstwy cenowej
Aby zoptymalizować pod kątem najwyższych oszczędności, monitoruj ilość pozyskiwania, aby upewnić się, że masz warstwę zobowiązania, która jest najbardziej zgodna ze wzorcami ilości pozyskiwania. Rozważ zwiększenie lub zmniejszenie warstwy zobowiązania w celu dostosowania ich do zmieniających się woluminów danych.
Możesz zwiększyć warstwę zobowiązania w dowolnym momencie, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Jednak aby powrócić do warstwy Płatności zgodnie z rzeczywistym użyciem lub do niższej warstwy zobowiązania, musisz poczekać, aż okres zobowiązania 31-dniowego zakończy się. Rozliczenia dla warstw zobowiązań są naliczane codziennie.
Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w obszarze nawigacji po lewej stronie usługi Microsoft Sentinel, a następnie wybierz kartę Cennik. Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.
Aby zmienić zobowiązanie dotyczące warstwy cenowej, wybierz jedną z pozostałych warstw na stronie cennika, a następnie wybierz pozycję Zastosuj. Aby zmienić warstwę cenową, musisz mieć współautora lub właściciela obszaru roboczego usługi Microsoft Sentinel.
Aby dowiedzieć się więcej na temat monitorowania kosztów, zobacz Zarządzanie kosztami i monitorowanie ich dla usługi Microsoft Sentinel.
W przypadku obszarów roboczych nadal korzystających z klasycznych warstw cenowych warstwy cenowe usługi Microsoft Sentinel nie obejmują opłat za usługę Log Analytics. Aby uzyskać więcej informacji, zobacz Uproszczone warstwy cenowe.
Oddzielanie danych niezwiązanych z zabezpieczeniami w innym obszarze roboczym
Usługa Microsoft Sentinel analizuje wszystkie dane pozyskane do obszarów roboczych usługi Log Analytics z obsługą usługi Microsoft Sentinel. Najlepiej mieć oddzielny obszar roboczy dla danych operacji niezwiązanych z zabezpieczeniami, aby upewnić się, że nie ponosi kosztów usługi Microsoft Sentinel.
Podczas wyszukiwania zagrożeń lub badania zagrożeń w usłudze Microsoft Sentinel może być konieczne uzyskanie dostępu do danych operacyjnych przechowywanych w tych autonomicznych obszarach roboczych usługi Azure Log Analytics. Dostęp do tych danych można uzyskać przy użyciu wykonywania zapytań między obszarami roboczymi w środowisku eksploracji dzienników i skoroszytach. Nie można jednak używać reguł analizy między obszarami roboczymi i zapytań wyszukiwania zagrożeń, chyba że usługa Microsoft Sentinel jest włączona we wszystkich obszarach roboczych.
Włącz podstawowe pozyskiwanie danych dzienników dla danych o dużej wartości zabezpieczeń (wersja zapoznawcza)
W przeciwieństwie do dzienników analitycznych podstawowe dzienniki są zwykle pełne. Zawierają one kombinację danych o dużej ilości i niskiej wartości zabezpieczeń, które nie są często używane lub uzyskiwane na żądanie na potrzeby wykonywania zapytań ad hoc, badań i wyszukiwania. Włącz podstawowe pozyskiwanie danych dziennika przy znacznie mniejszym koszcie dla kwalifikujących się tabel danych. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.
Optymalizowanie kosztów usługi Log Analytics za pomocą dedykowanych klastrów
Jeśli pozyskasz co najmniej 500 GB do obszaru roboczego lub obszarów roboczych usługi Microsoft Sentinel w tym samym regionie, rozważ przejście do dedykowanego klastra usługi Log Analytics, aby obniżyć koszty. Dedykowana warstwa zobowiązania klastra usługi Log Analytics agreguje wolumin danych w obszarach roboczych, które łącznie pozyskają łącznie 500 GB lub więcej. Aby uzyskać więcej informacji, zobacz Uproszczona warstwa cenowa dla dedykowanego klastra.
Do dedykowanego klastra usługi Log Analytics można dodać wiele obszarów roboczych usługi Microsoft Sentinel. Korzystanie z dedykowanego klastra usługi Log Analytics dla usługi Microsoft Sentinel ma kilka zalet:
Zapytania obejmujące wiele obszarów roboczych działają szybciej, jeśli wszystkie obszary robocze zaangażowane w zapytanie znajdują się w dedykowanym klastrze. Nadal najlepiej mieć jak najwięcej obszarów roboczych w danym środowisku, a dedykowany klaster nadal zachowuje limit 100 obszarów roboczych do włączenia do pojedynczego zapytania obejmującego wiele obszarów roboczych.
Wszystkie obszary robocze w dedykowanym klastrze mogą współużytkować warstwę zobowiązania usługi Log Analytics ustawioną w klastrze. Nie trzeba zatwierdzać oddzielnych warstw zobowiązania usługi Log Analytics dla każdego obszaru roboczego, co pozwala na oszczędność kosztów i wydajność. Włączając dedykowany klaster, należy zatwierdzić minimalną warstwę zobowiązania usługi Log Analytics wynoszącą 500 GB pozyskiwania dziennie.
Poniżej przedstawiono kilka innych zagadnień dotyczących przechodzenia do dedykowanego klastra na potrzeby optymalizacji kosztów:
- Maksymalna liczba klastrów na region i subskrypcja to dwa.
- Wszystkie obszary robocze połączone z klastrem muszą znajdować się w tym samym regionie.
- Maksymalna liczba obszarów roboczych połączonych z klastrem wynosi 1000.
- Możesz odłączyć połączony obszar roboczy z klastra. Liczba operacji łączenia w określonym obszarze roboczym jest ograniczona do dwóch w okresie 30 dni.
- Nie można przenieść istniejącego obszaru roboczego do klastra klucza zarządzanego przez klienta (CMK). Należy utworzyć obszar roboczy w klastrze.
- Przenoszenie klastra do innej grupy zasobów lub subskrypcji nie jest obecnie obsługiwane.
- Łącze obszaru roboczego do klastra kończy się niepowodzeniem, jeśli obszar roboczy jest połączony z innym klastrem.
Aby uzyskać więcej informacji na temat dedykowanych klastrów, zobacz Dedykowane klastry usługi Log Analytics.
Zmniejszenie kosztów długoterminowego przechowywania danych za pomocą usługi Azure Data Explorer lub zarchiwizowanych dzienników (wersja zapoznawcza)
Przechowywanie danych w usłudze Microsoft Sentinel jest bezpłatne przez pierwsze 90 dni. Aby dostosować okres przechowywania danych w usłudze Log Analytics, wybierz pozycję Użycie i szacowane koszty w obszarze nawigacji po lewej stronie, a następnie wybierz pozycję Przechowywanie danych, a następnie dostosuj suwak.
Dane zabezpieczeń usługi Microsoft Sentinel mogą utracić część jej wartości po kilku miesiącach. Użytkownicy usługi Security Operations Center (SOC) mogą nie potrzebować dostępu do starszych danych tak często, jak nowszych danych, ale nadal może być konieczne uzyskanie dostępu do danych na potrzeby sporadycznych badań lub inspekcji.
Aby ułatwić zmniejszenie kosztów przechowywania danych w usłudze Microsoft Sentinel, usługa Azure Monitor oferuje teraz zarchiwizowane dzienniki. Zarchiwizowane dzienniki przechowują dane dziennika przez długi czas, do siedmiu lat, przy obniżonym koszcie z ograniczeniami dotyczącymi jego użycia. Zarchiwizowane dzienniki są dostępne w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.
Alternatywnie możesz użyć usługi Azure Data Explorer do długoterminowego przechowywania danych po niższych kosztach. Usługa Azure Data Explorer zapewnia właściwą równowagę kosztów i użyteczności dla przestarzałych danych, które nie wymagają już analizy zabezpieczeń usługi Microsoft Sentinel.
Za pomocą usługi Azure Data Explorer możesz przechowywać dane w niższej cenie, ale nadal eksplorować dane przy użyciu tych samych zapytań język zapytań Kusto (KQL) co w usłudze Microsoft Sentinel. Możesz również użyć funkcji serwera proxy usługi Azure Data Explorer do wykonywania zapytań międzyplatformowych. Te zapytania agregują i korelują dane w usługach Azure Data Explorer, Application Szczegółowe informacje, Microsoft Sentinel i Log Analytics.
Aby uzyskać więcej informacji, zobacz Integrowanie usługi Azure Data Explorer na potrzeby długoterminowego przechowywania dzienników.
Używanie reguł zbierania danych dla zdarzeń Zabezpieczenia Windows
Łącznik Zabezpieczenia Windows Events umożliwia przesyłanie strumieniowe zdarzeń zabezpieczeń z dowolnego komputera z systemem Windows Server połączonym z obszarem roboczym usługi Microsoft Sentinel, w tym serwerami fizycznymi, wirtualnymi lub lokalnymi lub w dowolnej chmurze. Ten łącznik obejmuje obsługę agenta usługi Azure Monitor, który używa reguł zbierania danych do definiowania danych do zbierania danych z każdego agenta.
Reguły zbierania danych umożliwiają zarządzanie ustawieniami kolekcji na dużą skalę, jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.
Oprócz wstępnie zdefiniowanych zestawów zdarzeń, które można wybrać do pozyskiwania, takich jak Wszystkie zdarzenia, Minimalne lub Wspólne, reguły zbierania danych umożliwiają tworzenie niestandardowych filtrów i wybieranie określonych zdarzeń do pozyskiwania. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle, a następnie pozyskiwania tylko wybranych zdarzeń, pozostawiając wszystkie inne elementy. Wybranie określonych zdarzeń do pozyskiwania może pomóc zoptymalizować koszty i zaoszczędzić więcej.
Następne kroki
- Dowiedz się , jak zoptymalizować inwestycję w chmurę za pomocą usługi Microsoft Cost Management.
- Dowiedz się więcej o zarządzaniu kosztami za pomocą analizy kosztów.
- Dowiedz się, jak zapobiegać nieoczekiwanym kosztom.
- Weź udział w kursie szkoleniowym dotyczącym usługi Cost Management .
- Aby uzyskać więcej wskazówek dotyczących zmniejszania ilości danych usługi Log Analytics, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami.