Reduzir custos para o Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como reduzir os custos do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Definir ou alterar o tipo de preço

Para otimizar e obter o máximo de economia, monitore o volume de ingestão para garantir que você tenha o nível de compromisso mais adequado aos seus padrões de volume de ingestão. Você poderá aumentar ou diminuir o seu Nível de Compromisso para adequá-lo aos volumes de dados que sofrerem alterações.

Você pode aumentar o seu nível de compromisso a qualquer momento, o que reinicia o período de compromisso de 31 dias. No entanto, para voltar para o pagamento conforme o uso ou para um nível de compromisso inferior, você precisa aguardar até que o período de compromisso de 31 dias transcorra. A cobrança por níveis de compromisso é diária.

Para ver o tipo de preço atual do Microsoft Sentinel, selecione Configurações no painel de navegação à esquerda do Microsoft Sentinel e escolha a guia Preços. O seu tipo de preço atual está marcado como Camada atual.

Para alterar o compromisso do tipo de preço, selecione uma das outras camadas na página de preços e escolha Aplicar. Para alterar o tipo de preço, você precisa ter a função de Colaborador ou Proprietário no espaço de trabalho do Microsoft Sentinel.

Para saber mais sobre como monitorar seus custos, consulte Gerenciar e monitorar custos do Microsoft Sentinel.

Para workspaces que ainda usam camadas de preço clássicas, as camadas de preço do Microsoft Sentinel não incluem encargos do Log Analytics. Para obter mais informações, consulte Camadas de preços simplificadss.

Separar os dados que não sejam de segurança em um workspace diferente

O Microsoft Sentinel analisa todos os dados ingeridos nos workspaces do Log Analytics habilitados para o Microsoft Sentinel. É melhor ter um workspace separado para dados de operações que não sejam de segurança, para garantir que eles não incorram em custos do Microsoft Sentinel.

Ao buscar ou investigar ameaças no Microsoft Sentinel, talvez seja necessário acessar os dados operacionais armazenados nesses workspaces autônomos do Azure Log Analytics. Você pode acessar esses dados usando a consulta entre workspaces nas pastas de trabalho e na experiência de exploração de log. No entanto, não é possível usar as regras de análise e consultas de busca entre workspaces, a menos que o Microsoft Sentinel esteja habilitado em todos os workspaces.

Ativar a ingestão de dados de logs básicos para dados com alto volume e baixo valor de segurança (versão prévia)

Ao contrário dos logs de análise, os logs básicos geralmente são detalhados. Eles contêm uma combinação de dados de alto volume e baixo valor de segurança que não são usados com frequência ou acessados sob demanda para consultas, investigações e pesquisas ad-hoc. Habilite a ingestão de dados de logs básicos a um custo significativamente reduzido para tabelas de dados qualificadas. Para obter mais informações, confira Preços do Microsoft Azure Sentinel.

Otimizar os custos do Log Analytics com clusters dedicados

Se você ingerir pelo menos 500 GB em seus workspaces do Microsoft Sentinel na mesma região, considere mudar para um cluster dedicado do Log Analytics a fim de diminuir os custos. Um Nível de Compromisso de cluster dedicado do Log Analytics agrega o volume de dados entre workspaces que ingerem coletivamente um total de 500 GB ou mais. Para obter mais informações, consulte Camada de preços simplificada para cluster dedicado.

Você pode adicionar vários workspaces do Microsoft Sentinel a um cluster dedicado do Log Analytics. Há algumas vantagens de usar um cluster dedicado do Log Analytics para o Microsoft Sentinel:

• As consultas entre workspaces são executadas mais rapidamente se todos os workspaces envolvidos na consulta estiverem no cluster dedicado. Ainda é melhor ter o menor número de workspaces possível em seu ambiente, e um cluster dedicado ainda retém o limite de 100 workspaces para inclusão em cada consulta entre workspaces.

• Todos os workspaces no cluster dedicado podem compartilhar o nível de compromisso do Log Analytics definido no cluster. A não obrigação de fazer commit para separar os níveis de compromisso do Log Analytics para cada workspace pode permitir economia e redução de custos. Ao habilitar um cluster dedicado, você se compromete com um Nível de Compromisso mínimo do Log Analytics de 500 GB de ingestão por dia.

Aqui estão algumas outras considerações para mudar para um cluster dedicado a fim de otimizar custos:

• O número máximo de clusters ativos por região e assinatura é dois.
• Todos os workspaces vinculados a um cluster precisam estar na mesma região.
• O máximo de workspaces vinculados a um cluster é 1000.
• Você pode desvincular um workspace do cluster. O número de operações de vinculação de workspace específico é limitado a duas em um período de 30 dias.
• Não é possível mover um workspace existente para um cluster CMK (chave gerenciada pelo cliente). Você precisa criar o workspace no cluster.
• No momento, não há suporte para mover o cluster para outro grupo de recursos ou assinatura.
• Um link de workspace para um cluster falhará se esse workspace estiver vinculado a outro cluster.

Para obter mais informações sobre clusters dedicados, confira clusters dedicados do Log Analytics.

Reduzir os custos de retenção de dados de longo prazo com o Azure Data Explorer ou logs arquivados (versão prévia)

A retenção de dados do Microsoft Sentinel é gratuita pelos primeiros 90 dias. Para ajustar o período de retenção de dados no Log Analytics, selecione Uso e custos estimados no painel de navegação esquerdo, selecione Retenção de dados e ajuste o controle deslizante.

Os dados de segurança do Microsoft Sentinel podem perder um pouco de valor depois de alguns meses. Os usuários do SOC (centro de operações de segurança) podem não precisar acessar dados mais antigos com a mesma frequência que os dados mais recentes, mas ainda podem precisar acessá-los para investigações esporádicas ou para fins de auditoria.

Para ajudar a reduzir os custos de retenção de dados do Microsoft Sentinel, agora o Azure Monitor oferece logs arquivados. Os logs arquivados armazenam dados de log por longos períodos, até sete anos, a um custo reduzido com limitações de uso. Os logs arquivados estão em visualização pública. Para obter mais informações, consulte Configurar políticas de arquivamento e retenção de dados em logs do Azure Monitor.

Como alternativa, você pode usar o Azure Data Explorer para retenção de dados de longo prazo a um custo mais baixo. O Azure Data Explorer fornece o equilíbrio certo de custo e usabilidade para dados antigos que não precisam mais da inteligência de segurança do Microsoft Sentinel.

Com o Azure Data Explorer, você pode armazenar dados a um preço mais baixo, mas continuar a explorar os dados usando as mesmas consultas de KQL (linguagem de consulta Kusto) como no Microsoft Sentinel. Você também pode usar o recurso de proxy Azure Data Explorer para fazer consultas multiplataforma. Essas consultas agregam e correlacionam dados espalhados entre o Azure Data Explorer, o Application Insights, o Microsoft Sentinel e o Log Analytics.

Para obter mais informações, confira Integrar o Azure Data Explorer para retenção de log de longo prazo.

Usar regras de coleta de dados para Eventos de Segurança do Windows

O conector de Eventos de Segurança do Windows permite que você transmita eventos de segurança de qualquer computador que esteja executando o Windows Server conectado ao seu workspace do Microsoft Sentinel, incluindo servidores físicos, virtuais ou locais, ou em qualquer nuvem. Esse conector inclui suporte para o agente do Azure Monitor, que usa regras de coleta de dados para definir os dados a serem coletados de cada agente.

As regras de coleta de dados permitem que você gerencie as configurações de coleta em escala e, ao mesmo tempo, permite configurações exclusivas com escopo para subconjuntos de computadores. Confira Configurar a coleta de dados para o agente do Azure Monitor para saber mais.

Além dos conjuntos predefinidos de eventos que você pode selecionar para ingerir, como "Todos os eventos", "Mínimo" ou "Comum", as regras de coleta de dados permitem criar filtros personalizados e selecionar eventos específicos a serem ingeridos. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos selecionados, deixando todo o resto para trás. A seleção de eventos específicos para ingestão pode ajudar a otimizar custos e a economizar mais.

Próximas etapas

• Saiba como otimizar seus investimentos na nuvem com o Gerenciamento de Custos da Microsoft.
• Saiba mais sobre como gerenciar custos com a análise de custos.
• Saiba mais sobre como evitar custos inesperados.
• Faça o curso de aprendizado orientado Gerenciamento de Custos.
• Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, confira Práticas recomendadas do Azure Monitor – Gerenciamento de custos.