Compartilhar via

Reduzir custos para o Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como reduzir os custos do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Definir ou alterar o tipo de preço

Para otimizar e obter o máximo de economia, monitore o volume de ingestão para garantir que você tenha o nível de compromisso mais adequado aos seus padrões de volume de ingestão. Você poderá aumentar ou diminuir o seu Nível de Compromisso para adequá-lo aos volumes de dados que sofrerem alterações.

Você pode aumentar o seu nível de compromisso a qualquer momento, o que reinicia o período de compromisso de 31 dias. No entanto, para voltar para o pagamento conforme o uso ou para um nível de compromisso inferior, você precisa aguardar até que o período de compromisso de 31 dias transcorra. A cobrança por níveis de compromisso é diária.

Para ver o tipo de preço atual do Microsoft Sentinel, selecione Configurações no painel de navegação à esquerda do Microsoft Sentinel e escolha a guia Preços. O seu tipo de preço atual está marcado como Camada atual.

Para alterar o compromisso do tipo de preço, selecione uma das outras camadas na página de preços e escolha Aplicar. Para alterar o tipo de preço, você precisa ter a função de Colaborador ou Proprietário no espaço de trabalho do Microsoft Sentinel.

Captura de tela da página de preços nas configurações do Microsoft Sentinel, com Pagamento Conforme o Uso selecionado como tipo de preço atual.

Para saber mais sobre como monitorar seus custos, consulte Gerenciar e monitorar custos do Microsoft Sentinel.

Para workspaces que ainda usam camadas de preço clássicas, as camadas de preço do Microsoft Sentinel não incluem encargos do Log Analytics. Para obter mais informações, consulte Camadas de preços simplificadss.

Comprar um plano de compra antecipada

Economize nos custos do Microsoft Sentinel ao comprar unidades de confirmação (CUs) do Microsoft Sentinel antecipadamente. Use as CUs compradas antecipadamente a qualquer momento durante a vigência da compra de um ano.

Todos os custos qualificados do Microsoft Sentinel são primeiro deduzidos automaticamente das CUs compradas antecipadamente. Você não precisa reimplantar nem atribuir um plano comprado antecipadamente aos workspaces do seu Microsoft Sentinel para uso da CU para obter os descontos da compra antecipada.

Para obter mais informações, confira Otimizar os custos do Microsoft Sentinel com um plano de compra antecipada.

Separar os dados que não sejam de segurança em um workspace diferente

O Microsoft Sentinel analisa todos os dados ingeridos nos workspaces do Log Analytics habilitados para o Microsoft Sentinel. É melhor ter um workspace separado para dados de operações que não sejam de segurança, para garantir que eles não incorram em custos do Microsoft Sentinel.

Ao buscar ou investigar ameaças no Microsoft Sentinel, talvez seja necessário acessar os dados operacionais armazenados nesses workspaces autônomos do Azure Log Analytics. Você pode acessar esses dados usando a consulta entre workspaces nas pastas de trabalho e na experiência de exploração de log. No entanto, não é possível usar as regras de análise e consultas de busca entre workspaces, a menos que o Microsoft Sentinel esteja habilitado em todos os workspaces.

Selecione tipos de log de baixo custo para dados de alto volume e baixo valor

Embora os logs de análise padrão sejam mais apropriados para detecção contínua de ameaças em tempo real, dois outros tipos de log, logs básicos e logs auxiliares, são mais adequados para consulta ad hoc e pesquisa de logs detalhados, de alto volume e baixo valor que não são frequentemente necessários ou acessados sob demanda. Habilite a ingestão de dados de logs básicos a um custo significativamente reduzido ou ingestão de dados de logs auxiliares (agora em versão prévia) a um custo ainda menor, para tabelas de dados qualificadas. Para obter mais informações, confira Preços do Microsoft Azure Sentinel.

Otimizar os custos do Log Analytics com clusters dedicados

Se você ingerir pelo menos 100 GB no seu workspace do Microsoft Sentinel ou workspaces na mesma região, considere mover para um cluster dedicado de Análise de Logs para diminuir os custos. Um Nível de Compromisso de cluster dedicado do Log Analytics agrega o volume de dados em workspaces que ingerem coletivamente um total de 100 GB ou mais. Para obter mais informações, consulte Camada de preços simplificada para cluster dedicado.

Você pode adicionar vários workspaces do Microsoft Sentinel a um cluster dedicado do Log Analytics. Há algumas vantagens de usar um cluster dedicado do Log Analytics para o Microsoft Sentinel:

  • As consultas entre workspaces são executadas mais rapidamente se todos os workspaces envolvidos na consulta estiverem no cluster dedicado. Ainda é melhor ter o menor número de workspaces possível em seu ambiente, e um cluster dedicado ainda retém o limite de 100 workspaces para inclusão em cada consulta entre workspaces.

  • Todos os workspaces no cluster dedicado podem compartilhar o nível de compromisso do Log Analytics definido no cluster. A não obrigação de fazer commit para separar os níveis de compromisso do Log Analytics para cada workspace pode permitir economia e redução de custos. Ao habilitar um cluster dedicado, você se compromete com um Nível de Compromisso mínimo de Análise de Logs de ingestão de 100 GB por dia.

Aqui estão algumas outras considerações para mudar para um cluster dedicado a fim de otimizar custos:

  • O número máximo de clusters ativos por região e assinatura é dois.
  • Todos os workspaces vinculados a um cluster precisam estar na mesma região.
  • O máximo de workspaces vinculados a um cluster é 1000.
  • Você pode desvincular um workspace do cluster. O número de operações de vinculação de workspace específico é limitado a duas em um período de 30 dias.
  • Não é possível mover um workspace existente para um cluster CMK (chave gerenciada pelo cliente). Você precisa criar o workspace no cluster.
  • No momento, não há suporte para mover o cluster para outro grupo de recursos ou assinatura.
  • Um link de workspace para um cluster falhará se esse workspace estiver vinculado a outro cluster.

Para obter mais informações sobre clusters dedicados, confira clusters dedicados do Log Analytics.

Reduzir os custos de retenção de dados com retenção de longo prazo

O Microsoft Sentinel mantém dados por padrão em formato interativo nos primeiros 90 dias. Para ajustar o período de retenção de dados no Log Analytics, selecione Uso e custos estimados no painel de navegação esquerdo, selecione Retenção de dados e ajuste o controle deslizante.

Os dados de segurança do Microsoft Sentinel podem perder um pouco de valor depois de alguns meses. Os usuários do SOC (centro de operações de segurança) podem não precisar acessar dados mais antigos com a mesma frequência que os dados mais recentes, mas ainda podem precisar acessá-los para investigações esporádicas ou para fins de auditoria.

Para ajudar a reduzir os custos de retenção de dados do Microsoft Sentinel, agora o Azure Monitor oferece retenção de longo prazo. Os dados que são excluídos do estado de retenção interativo ainda podem ser mantidos por até doze anos, a um custo muito reduzido e com limitações em seu uso. Para obter mais informações, consulte Gerenciar a retenção de dados em um Workspace do Log Analytics.

Você pode reduzir ainda mais os custos registrando tabelas que contêm dados de segurança secundários no plano de Logs auxiliares (agora em versão prévia). Esse plano permite que você armazene logs de alto volume e baixo valor a um preço baixo, com um período de retenção interativa de 30 dias de menor custo no início para permitir resumo e consulta básica. Para saber mais sobre o plano de logs auxiliares e outros planos, consulte Planos de retenção de log no Microsoft Sentinel. Embora o plano de logs auxiliares permaneça em versão prévia, você também a opção de registrar essas tabelas no plano de Logs básicos. Os logs básicos oferecem funcionalidade semelhante aos logs auxiliares, mas com menos economia de custos.

Usar regras de coleta de dados para Eventos de Segurança do Windows

O conector de Eventos de Segurança do Windows permite que você transmita eventos de segurança de qualquer computador que esteja executando o Windows Server conectado ao seu workspace do Microsoft Sentinel, incluindo servidores físicos, virtuais ou locais, ou em qualquer nuvem. Este conector inclui suporte para o agente do Azure Monitor, que usa regras de coleta de dados para definir os dados a serem coletados de cada agente.

As regras de coleta de dados permitem que você gerencie as configurações de coleta em escala e, ao mesmo tempo, permite configurações exclusivas com escopo para subconjuntos de computadores. Confira Configurar a coleta de dados para o agente do Azure Monitor para saber mais.

Além dos conjuntos predefinidos de eventos que você pode selecionar para ingerir, como "Todos os eventos", "Mínimo" ou "Comum", as regras de coleta de dados permitem criar filtros personalizados e selecionar eventos específicos a serem ingeridos. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos selecionados, deixando todo o resto para trás. A seleção de eventos específicos para ingestão pode ajudar a otimizar custos e a economizar mais.

Próximas etapas