Udostępnij za pośrednictwem


Obniżanie kosztów usługi Microsoft Sentinel

Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak obniżyć koszty usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Ustawianie lub zmienianie warstwy cenowej

Aby zoptymalizować pod kątem najwyższych oszczędności, monitoruj ilość pozyskiwania, aby upewnić się, że masz warstwę zobowiązania, która jest najbardziej zgodna ze wzorcami ilości pozyskiwania. Rozważ zwiększenie lub zmniejszenie poziomu zobowiązania w celu dostosowania do zmieniających się woluminów danych.

Możesz zwiększyć warstwę zobowiązania w dowolnym momencie, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Jednak aby powrócić do płatności zgodnie z rzeczywistym użyciem lub do niższego Poziomu Zobowiązania, musisz poczekać na zakończenie 31-dniowego okresu zobowiązania. Rozliczenia dla warstw zobowiązań są naliczane codziennie.

Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w obszarze nawigacji po lewej stronie usługi Microsoft Sentinel, a następnie wybierz kartę Cennik . Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.

Aby zmienić zobowiązanie dotyczące warstwy cenowej, wybierz jedną z pozostałych warstw na stronie cennika, a następnie wybierz pozycję Zastosuj. Aby zmienić warstwę cenową, musisz mieć współautora lub właściciela obszaru roboczego usługi Microsoft Sentinel.

Zrzut ekranu strony cennika w ustawieniach usługi Microsoft Sentinel, z wybranym modelem rozliczeń pay-as-you-go jako bieżącą warstwą cenową.

Aby dowiedzieć się więcej na temat monitorowania kosztów, zobacz Zarządzanie kosztami i monitorowanie ich dla usługi Microsoft Sentinel.

W przypadku obszarów roboczych, które nadal korzystają z klasycznych poziomów cenowych, poziomy cenowe Microsoft Sentinel nie uwzględniają opłat za Log Analytics. Aby uzyskać więcej informacji, zobacz Uproszczone warstwy cenowe.

Kup plan przedzakupowy

Oszczędzaj na kosztach usługi Microsoft Sentinel podczas wcześniejszego zakupu jednostek zatwierdzeń usługi Microsoft Sentinel. Użyj wstępnie zakupionych jednostek w dowolnym momencie w ciągu jednorocznego okresu zakupu.

Wszelkie kwalifikujące się koszty usługi Microsoft Sentinel są najpierw automatycznie odejmowane od wcześniej zakupionych jednostek przeliczeniowych (CU). Nie musisz ponownie wdrażać ani przypisywać wcześniej zakupionego planu do przestrzeni roboczych Microsoft Sentinel, aby uzyskać rabaty za użycie.

Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów usługi Microsoft Sentinel przy użyciu planu zakupu z góry.

Oddzielanie danych niezwiązanych z zabezpieczeniami w innym obszarze roboczym

Microsoft Sentinel analizuje wszystkie dane wprowadzone do obszarów roboczych Log Analytics, które są używane przez Microsoft Sentinel. Najlepiej mieć oddzielny obszar roboczy dla danych operacji niezwiązanych z zabezpieczeniami, aby upewnić się, że nie ponosi kosztów usługi Microsoft Sentinel.

Podczas wyszukiwania zagrożeń lub badania zagrożeń w usłudze Microsoft Sentinel może być konieczne uzyskanie dostępu do danych operacyjnych przechowywanych w tych autonomicznych obszarach roboczych usługi Azure Log Analytics. Dostęp do tych danych można uzyskać przy użyciu wykonywania zapytań między obszarami roboczymi w środowisku eksploracji dzienników i skoroszytach. Nie można jednak używać reguł analityki między obszarami roboczymi ani zapytań związanych z wyszukiwaniem zagrożeń, chyba że usługa Microsoft Sentinel jest włączona we wszystkich obszarach roboczych.

Wybieranie typów dzienników o niskich kosztach dla danych o niskiej wartości

Chociaż standardowe dzienniki analityczne są najbardziej odpowiednie do ciągłego wykrywania zagrożeń w czasie rzeczywistym, dwa inne typy dzienników — podstawowe dzienniki i dzienniki pomocnicze — są bardziej odpowiednie do wykonywania zapytań ad hoc i wyszukiwania pełnych dzienników o dużej ilości, niskiej wartości, które nie są często potrzebne lub do których uzyskuje się dostęp na żądanie. podstawowe pozyskiwanie danych dzienników przy znacznie obniżonym koszcie lub pozyskiwaniu danych dziennika pomocniczego przy jeszcze niższych kosztach dla kwalifikujących się tabel danych. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.

Optymalizowanie kosztów usługi Log Analytics za pomocą dedykowanych klastrów

Jeśli załadujesz co najmniej 100 GB do obszaru roboczego lub obszarów roboczych Microsoft Sentinel w tym samym regionie, rozważ przejście na dedykowany klaster Log Analytics, aby obniżyć koszty. Dedykowany klaster usługi Log Analytics w ramach warstwy subskrypcyjnej agreguje wolumin danych między obszarami roboczymi, które łącznie pozyskają co najmniej 100 GB. Aby uzyskać więcej informacji, zobacz Uproszczona warstwa cenowa dla dedykowanego klastra.

Do dedykowanego klastra usługi Log Analytics można dodać wiele obszarów roboczych usługi Microsoft Sentinel. Korzystanie z dedykowanego klastra usługi Log Analytics dla usługi Microsoft Sentinel ma kilka zalet:

  • Zapytania obejmujące wiele obszarów roboczych działają szybciej, jeśli wszystkie obszary robocze zaangażowane w zapytanie znajdują się w dedykowanym klastrze. Nadal najlepiej mieć jak najmniej obszarów roboczych w danym środowisku, a dedykowany klaster nadal zachowuje limit 100 obszarów roboczych do uwzględnienia w pojedynczym zapytaniu obejmującym wiele obszarów roboczych.

  • Wszystkie obszary robocze w dedykowanym klastrze mogą współużytkować warstwę zobowiązania usługi Log Analytics ustawioną w klastrze. Nie trzeba zatwierdzać oddzielnych warstw zobowiązania usługi Log Analytics dla każdego obszaru roboczego, co pozwala na oszczędność kosztów i wydajność. Włączając dedykowany klaster, należy zatwierdzić minimalną warstwę zobowiązania usługi Log Analytics wynoszącą 100 GB pozyskiwania dziennie.

Poniżej przedstawiono kilka innych zagadnień dotyczących przechodzenia do dedykowanego klastra na potrzeby optymalizacji kosztów:

  • Maksymalna liczba klastrów na region i subskrypcja to dwa.
  • Wszystkie obszary robocze połączone z klastrem muszą znajdować się w tym samym regionie.
  • Maksymalna liczba obszarów roboczych połączonych z klastrem wynosi 1000.
  • Możesz odłączyć połączony obszar roboczy z klastra. Liczba operacji łączenia w określonym obszarze roboczym jest ograniczona do dwóch w okresie 30 dni.
  • Nie można przenieść istniejącego obszaru roboczego do klastra klucza zarządzanego przez klienta (CMK). Należy utworzyć obszar roboczy w klastrze.
  • Przenoszenie klastra do innej grupy zasobów lub subskrypcji nie jest obecnie obsługiwane.
  • Łącze obszaru roboczego do klastra kończy się niepowodzeniem, jeśli obszar roboczy jest połączony z innym klastrem.

Aby uzyskać więcej informacji na temat dedykowanych klastrów, zobacz Dedykowane klastry usługi Log Analytics.

Zmniejszanie kosztów przechowywania danych przy użyciu długoterminowego przechowywania

Usługa Microsoft Sentinel domyślnie przechowuje dane w postaci interaktywnej przez pierwsze 90 dni. Aby dostosować okres przechowywania danych w usłudze Log Analytics, wybierz pozycję Użycie i szacowane koszty w obszarze nawigacji po lewej stronie, a następnie wybierz pozycję Przechowywanie danych, a następnie dostosuj suwak.

Dane zabezpieczeń usługi Microsoft Sentinel mogą utracić część jej wartości po kilku miesiącach. Użytkownicy usługi Security Operations Center (SOC) mogą nie potrzebować dostępu do starszych danych tak często, jak nowszych danych, ale nadal może być konieczne uzyskanie dostępu do danych na potrzeby sporadycznych badań lub inspekcji.

Aby ułatwić zmniejszenie kosztów przechowywania danych w usłudze Microsoft Sentinel, usługa Azure Monitor oferuje teraz długoterminowe przechowywanie. Dane, które wychodzą ze stanu retencji interaktywnej, mogą być nadal przechowywane przez maksymalnie dwanaście lat, przy znacznie obniżonym koszcie i z ograniczeniami dotyczącymi ich użycia. Aby uzyskać więcej informacji, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.

Możesz jeszcze bardziej obniżyć koszty, rejestrując tabele zawierające pomocnicze dane zabezpieczeń w planie dzienników pomocniczych . Plan ten umożliwia przechowywanie dzienników o dużej ilości danych o niskiej wartości przy niskiej cenie, z niższym kosztem na początku dzięki 30-dniowemu interaktywnemu okresowi przechowywania, co umożliwia podsumowywanie i podstawowe zapytania. Aby dowiedzieć się więcej na temat planu dzienników pomocniczych i innych planów, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.

Użyj reguł zbierania danych dla zdarzeń zabezpieczeń systemu Windows

Łącznik Windows Security Events umożliwia przesyłanie strumieniowe zdarzeń zabezpieczeń z dowolnego komputera z systemem Windows Server, który jest połączony z obszarem roboczym Microsoft Sentinel, włącznie z serwerami fizycznymi, wirtualnymi, lokalnymi lub w jakiejkolwiek chmurze. Ten łącznik obejmuje obsługę agenta usługi Azure Monitor, który używa reguł zbierania danych, aby określić, jakie dane mają być zbierane od każdego agenta.

Reguły zbierania danych umożliwiają zarządzanie ustawieniami kolekcji na dużą skalę, jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.

Oprócz wstępnie zdefiniowanych zestawów zdarzeń, które można wybrać do pozyskiwania, takich jak Wszystkie zdarzenia, Minimalne lub Wspólne, reguły zbierania danych umożliwiają tworzenie niestandardowych filtrów i wybieranie określonych zdarzeń do pozyskiwania. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle, a następnie pozyskuje tylko wybrane zdarzenia, pomijając wszystko inne. Wybranie określonych zdarzeń do przetwarzania może pomóc zoptymalizować koszty i zwiększyć oszczędności.

Następne kroki