Estimar custos com a calculadora de custos do Microsoft Defender para a Cloud

A calculadora de custos do Microsoft Defender para a Cloud é uma ferramenta útil para estimar os potenciais custos associados às suas necessidades de segurança da cloud. Permite-lhe configurar diferentes planos e ambientes, fornecendo uma discriminação detalhada dos custos, incluindo os descontos aplicáveis.

Aceda à calculadora de custos

Para usar a Calculadora de Custos do Defender for Cloud, vá para a seção Configurações de Ambiente do Microsoft Defender for Cloud. Selecione o botão Calculadora de custos localizado na seção superior da interface.

Configurar planos e ambientes do Defender for Cloud

Na primeira página da calculadora, selecione o botão Adicionar ativos para começar a adicionar ativos ao seu cálculo de custo. Você tem três métodos para adicionar ativos:

• Adicionar ativos de ambientes integrados: Recomendado - Adicione ativos de ambientes já integrados ao Defender for Cloud. Esse método abrange todos os planos para o Azure e funciona mais rápido do que a opção de script.
• Adicionar ativos com um script: baixe e execute um script para adicionar automaticamente ativos existentes. Recomendado para ambientes (como projetos AWS ou GCP) que ainda não estão integrados ao Azure.
• Adicionar ativos personalizados: adicione ativos manualmente sem usar automação.

Nota

A calculadora de custos não considera planos de reserva para o Defender for Cloud.

Adicionar ativos de ambientes integrados

Sugestão

Esse método é recomendado para ambientes do Azure porque abrange todos os planos e fornece resultados mais rápidos do que o uso de scripts.

1. Selecione na lista de ambientes do Azure já integrados ao Defender for Cloud para incluir no cálculo de custo.

   Nota

   A calculadora descobre recursos para os quais você tem permissões.

2. Escolha os planos. A calculadora estima o custo com base nas suas seleções e em quaisquer descontos existentes.

Adicionar ativos com um script

Nota

Esse método é recomendado para ambientes que ainda não estão integrados ao Azure, como projetos AWS ou GCP.

1. Escolha o tipo de ambiente (Azure, AWS ou GCP) e copie o script para um novo arquivo *.ps1.

   Nota

   O script coleta apenas informações às quais o usuário que o executa tem acesso.

2. Execute o script em seu ambiente do PowerShell 7.X usando uma conta de usuário privilegiada. O script coleta informações sobre seus ativos faturáveis e cria um arquivo CSV. Reúne informações em duas etapas. Primeiro, ele coleta o número atual de ativos faturáveis que geralmente permanecem constantes. Em segundo lugar, ele coleta informações sobre ativos faturáveis que podem mudar muito durante o mês. Para esses ativos, ele verifica o uso nos últimos 30 dias para avaliar o custo. Você pode parar o script após a primeira etapa, que leva alguns segundos. Ou você pode continuar a coletar os últimos 30 dias de uso para ativos dinâmicos, o que pode levar mais tempo para contas grandes.

3. Carregue este arquivo CSV no assistente onde você baixou o script.

4. Selecione os planos desejados do Defender for Cloud. A calculadora estima os custos com base na sua seleção e em quaisquer descontos existentes.

Nota

• Os planos de reserva do Defender for Cloud não são considerados.
• Para o Defender for APIs: Ao calcular o custo com base no número de chamadas de API nos últimos 30 dias, selecionamos automaticamente o melhor plano do Defender for APIs para você. Se não houver chamadas de API nos últimos 30 dias, desativamos automaticamente o plano para fins de cálculo.

Permissões necessárias para scripts

Esta seção fornece uma visão geral das permissões necessárias para executar os scripts para cada provedor de nuvem.

Azure

Para executar esse script com êxito para cada assinatura, a conta que você usa precisa de permissões que permitam:

• Descubra e liste recursos (incluindo máquinas virtuais, contas de armazenamento, serviços APIM, contas do Cosmos DB e outros recursos).

• Gráfico de recursos de consulta (via Search-AzGraph).

• Leia Métricas (via Get-AzMetric e as APIs do Azure Monitor/Insights).

Função interna recomendada:

Na maioria dos casos, a função Leitor no escopo da assinatura é suficiente. A função Leitor fornece os seguintes recursos principais necessários para esse script:

• Leia todos os tipos de recursos (para que você possa listar e analisar coisas como Contas de Armazenamento, VMs, Cosmos DB e APIM, etc.).
• Leia métricas (Microsoft.Insights/metrics/read) para que as chamadas para Get-AzMetric ou consultas REST diretas do Azure Monitor sejam bem-sucedidas.
• As consultas do Resource Graph funcionam desde que você tenha, pelo menos, acesso de leitura a esses recursos na assinatura.

Nota

Se você quiser ter certeza de que tem as permissões de métrica necessárias, você também pode usar a função de Leitor de Monitoramento, no entanto, a função de Leitor padrão já inclui acesso de leitura a métricas e geralmente é tudo o que você precisa.

Se você já tiver funções de Colaborador ou Proprietário:

• Colaborador ou Proprietário na assinatura é mais do que suficiente (essas funções são mais privilegiadas do que o Leitor).
• O script não executa a criação ou exclusão de recursos. Portanto, conceder funções de alto nível (como Colaborador/Proprietário) com o único propósito de coleta de dados pode ser exagerado de uma perspetiva de privilégios mínimos.

Resumo:

Atribuir ao utilizador ou ao principal de serviço a função Leitor (ou qualquer função com maior privilégio) em cada subscrição que se pretende consultar garante que o script possa:

• Recupere a lista de assinaturas.
• Enumere e leia todas as informações de recursos relevantes (via REST ou Az PowerShell).
• Buscar as métricas necessárias (Solicitações de APIM, consumo de RU para Cosmos DB, entrada de Contas de Armazenamento, etc.).
• Execute consultas do Resource Graph sem problemas.

AWS

O script da AWS oferece suporte a dois fluxos de descoberta:

• Descoberta de conta única - Descobre recursos em uma única conta da AWS
• Descoberta de organização - Descobre recursos em todas as contas de membros em uma organização da AWS

Descoberta de conta única

Para a descoberta de conta única, a visão geral a seguir descreve as permissões que sua identidade da AWS (usuário ou função) precisa para executar esse script com êxito. O script enumera recursos (EC2, RDS, EKS, S3 e outros) e busca metadados para esses recursos. Ele não cria, modifica ou exclui recursos, portanto, o acesso somente leitura é suficiente na maioria dos casos.

Política gerenciada pela AWS: ReadOnlyAccess ou ViewOnlyAccess:

A abordagem mais simples é anexar uma das políticas somente leitura integradas da AWS ao principal do IAM (usuário ou função) que executa esse script. Exemplos incluem:

• arn:aws:iam::aws:policy/ReadOnlyAccess
• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Qualquer uma dessas políticas abrange as permissões de descrição e lista para a maioria dos serviços da AWS. Se a política de segurança do seu ambiente permitir, o ReadOnlyAccess é a maneira mais fácil de garantir que o script funcione em todos os recursos da AWS enumerados.

Serviços principais e permissões necessárias:

Se você precisar de uma abordagem mais granular com uma política personalizada do IAM, os seguintes serviços e permissões serão necessários:

• EC2
  • ec2:DescribeInstances
  • ec2:DescribeRegions
  • ec2:DescribeInstanceTypes (para recuperar informações vCPU/core)
• RDS
  • rds:DescribeDBInstances
• EKS
  • eks:ListClusters
  • eks:DescribeCluster
  • eks:ListNodegroups
  • eks:DescribeNodegroup
• Auto Scaling (para instâncias subjacentes de grupos de nós EKS)
  • autoscaling:DescribeAutoScalingGroups
• S3
  • s3:ListAllMyBuckets
• STS
  • sts:GetCallerIdentity (para recuperar o ID da conta da AWS)

Além disso, se você precisar listar outros recursos não mostrados no script ou se planeja expandir os recursos do script, certifique-se de conceder as ações apropriadas Describe*, List* e Get* conforme necessário.

Descoberta da organização

Para a descoberta em toda a organização, você precisa:

• Na conta de gerenciamento: Permissão para listar todas as contas na organização

  • organizations:ListAccounts

• Em todas as contas de membro: uma função com as mesmas permissões descritas para a descoberta de conta única (ReadOnlyAccess ou as permissões personalizadas listadas acima)

Configurando a descoberta da organização:

1. Crie uma função do IAM em cada conta de membro com as permissões de leitura necessárias (conforme descrito na descoberta de conta única)
2. Configurar a função para confiar na entidade de segurança que executa o script de descoberta
3. Verifique se a entidade que executa o script tem:
   • Permissão para assumir a função em cada conta de membro
   • A organizations:ListAccounts permissão na conta de gerenciamento

Nota

O fluxo de descoberta da organização itera automaticamente através de todas as contas de membro onde a função configurada está acessível.

Resumo:

• A abordagem mais simples é anexar a política ReadOnlyAccess integrada da AWS, que já inclui todas as ações necessárias para listar e descrever recursos do EC2, RDS, EKS, S3, Auto Scaling e chamar STS para obter as informações da sua conta.
• Para conceder privilégios suficientes, crie uma política somente leitura personalizada com as ações Describe*, List* e Get* acima para EC2, RDS, EKS, Auto Scaling, S3 e STS.

Qualquer uma das abordagens dá ao script permissões suficientes para:

• Listar regiões.
• Recupere metadados de instância do EC2.
• Recupere instâncias do RDS.
• Liste e descreva clusters EKS e grupos de nós (e os grupos de Auto Scaling subjacentes).
• Liste buckets do S3.
• Obtenha o ID da sua conta da AWS por meio do STS.

Esse conjunto de permissões garante que o script possa descobrir recursos e buscar os metadados relevantes sem criar, modificar ou excluir nada.

GCP

A visão geral a seguir descreve as permissões que seu usuário ou conta de serviço do GCP precisa para executar esse script com êxito. Você pode usar o script para descobrir recursos em um único projeto ou em vários projetos, dependendo da sua seleção. Para estimar os custos de vários projetos, verifique se sua conta tem as permissões necessárias em cada projeto que você deseja incluir. O script lista e descreve recursos como instâncias de VM, bancos de dados Cloud SQL, clusters GKE e buckets GCS em todos os projetos selecionados.

Função interna recomendada: Project Viewer

A abordagem mais simples para garantir acesso somente leitura em todos esses recursos é conceder à sua conta de usuário ou serviço a função de função/visualizador no nível do projeto (o mesmo projeto selecionado via gcloud config set project).

A função de funções/visualizador inclui acesso somente leitura à maioria dos serviços GCP dentro desse projeto, incluindo as permissões necessárias para:

• Compute Engine (liste instâncias de VM, modelos de instância, tipos de máquina e muito mais).
• Cloud SQL (listar instâncias SQL).
• Mecanismo Kubernetes (lista de clusters, pools de nós e muito mais).
• Armazenamento na nuvem (lista de buckets).

Permissões granulares por serviço (se estiver criando uma função personalizada):

Se preferir uma abordagem mais granular, crie uma função personalizada do IAM ou um conjunto de funções que concedam coletivamente apenas as ações de lista de leitura e descrição necessárias para cada serviço:

• Mecanismo de computação (para instâncias de VM, regiões, modelos de instância, gerentes de grupo de instância):
  • compute.instances.list
  • compute.regions.list
  • compute.machineTypes.list
  • compute.instanceTemplates.get
  • compute.instanceGroupManagers.get
  • compute.instanceGroups.get
• Cloud SQL:
  • cloudsql.instances.list
• Mecanismo do Google Kubernetes:
  • container.clusters.list
  • container.clusters.get (necessário ao descrever clusters)
  • container.nodePools.list
  • container.nodePools.get
• Armazenamento na nuvem:
  • storage.buckets.list

O script não cria nem modifica nenhum recurso, portanto, não requer permissões de atualização ou exclusão — apenas permissões de lista, obtenção ou descrição de tipo.

Resumo:

• Usar funções/visualizador no nível do projeto é a maneira mais rápida e direta de conceder permissões suficientes para que esse script seja bem-sucedido.
• Para obter a abordagem mais rigorosa de privilégios mínimos, crie ou combine funções personalizadas que incluam apenas a lista relevante, descreva e obtenha ações para Compute Engine, Cloud SQL, GKE e Cloud Storage.

Com essas permissões, o script pode:

• Autenticar (gcloud auth login).
• Lista Instâncias de VM, tipos de máquina, gerenciadores de grupo de instâncias e recursos semelhantes.
• Listar instâncias do Cloud SQL.
• Liste e descreva clusters GKE e pools de nós.
• Liste buckets GCS.

Esse acesso em nível de leitura permite enumerar contagens de recursos e coletar metadados sem modificar ou criar recursos.

Atribuir ativos integrados

1. Selecione na lista de ambientes do Azure já integrados ao Defender for Cloud para incluir no cálculo de custo.

   Nota

   A calculadora descobre recursos para os quais você tem permissões.

2. Escolha os planos. A calculadora estima o custo com base nas suas seleções e em quaisquer descontos existentes.

Atribuir ativos personalizados

1. Escolha um nome para o ambiente personalizado.
2. Especifique os planos e o número de ativos faturáveis para cada plano.
3. Selecione os tipos de ativos que deseja incluir no cálculo de custo.
4. A calculadora estima os custos com base nos seus inputs e em quaisquer descontos existentes.

Nota

A calculadora não considera planos de reserva para o Defender for Cloud.

Ajustar o relatório

Depois de gerar o relatório, você pode ajustar os planos e o número de ativos faturáveis:

1. Selecione o ambiente que deseja modificar selecionando o ícone de edição (lápis).
2. É apresentada uma página de configuração, onde pode ajustar os planos, o número de ativos faturáveis e a média de horas mensais.
3. Selecione Recalcular para atualizar a estimativa de custo.

Exportar o relatório

Quando estiver satisfeito com o relatório, você poderá exportá-lo como um arquivo CSV:

1. Selecione Exportar para CSV na parte inferior do painel Resumo à direita.
2. As informações de custo são baixadas como um arquivo CSV.

Perguntas mais frequentes

O que é a calculadora de custos?

A calculadora de custos é uma ferramenta que simplifica a estimativa de custos para as suas necessidades de proteção de segurança. Quando você define o escopo dos planos e ambientes desejados, a calculadora fornece um detalhamento detalhado das despesas potenciais, incluindo quaisquer descontos aplicáveis.

Como funciona a calculadora de custos?

Você seleciona os ambientes e planos que deseja habilitar. Em seguida, a calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente. Você também pode ajustar manualmente as quantidades unitárias e os níveis de desconto.

Qual é o processo de descoberta?

O processo de descoberta gera um relatório do ambiente selecionado, incluindo o inventário de ativos faturáveis pelos vários planos do Defender for Cloud. Esse processo depende das permissões do usuário e do estado do ambiente no momento da descoberta. Para ambientes grandes, esse processo pode levar aproximadamente 30 a 60 minutos, pois também faz amostras de ativos dinâmicos.

Preciso conceder alguma permissão especial para a calculadora de custos para executar o processo de descoberta?

A calculadora de custos usa suas permissões existentes para executar o script e executar a descoberta automaticamente. Recolhe os dados necessários sem exigir outros direitos de acesso. Para ver de que permissões você precisa para executar o script, consulte a seção Permissões necessárias para scripts .

As estimativas preveem com precisão o meu custo?

A calculadora fornece uma estimativa com base nas informações disponíveis quando o script é executado. Vários fatores podem influenciar o custo final, por isso deve considerá-lo um cálculo aproximado.

Quais são as unidades faturáveis?

O custo dos planos é baseado nas unidades que protegem. Cada plano cobra por um tipo de unidade diferente, que você pode encontrar na página de configurações do Microsoft Defender for Cloud Environment.

Posso ajustar as estimativas manualmente?

Sim, a calculadora de custos suporta a recolha automática de dados e ajustes manuais. Você pode modificar a quantidade unitária e os níveis de desconto para refletir melhor suas necessidades específicas e ver como essas alterações afetam seu custo geral.

A calculadora suporta vários provedores de nuvem?

Sim, ele oferece suporte multicloud, garantindo que você possa obter estimativas de custos precisas, independentemente do seu provedor de nuvem.

Como posso partilhar a minha estimativa de custos?

Depois de gerar sua estimativa de custo, você pode facilmente exportá-la e compartilhá-la para planejamento e aprovações de orçamento. Este recurso garante que todas as partes interessadas tenham acesso às informações necessárias.

Onde posso obter ajuda se tiver dúvidas?

Nossa equipe de suporte está pronta para ajudá-lo com qualquer dúvida ou preocupação que você possa ter. Sinta-se à vontade para entrar em contato conosco para obter ajuda.

Como posso experimentar a calculadora de custos?

Experimente a nova calculadora de custos e veja os seus benefícios. Aceda à ferramenta e comece a definir o âmbito das suas necessidades de proteção. Para usar a Calculadora de Custos do Defender for Cloud, vá para as configurações do Microsoft Defender for Cloud Environment e selecione o botão Calculadora de Custos .

Conteúdos relacionados

• Preços do Microsoft Defender para a Cloud
• Otimize os custos do Microsoft Defender for Cloud com um plano de pré-compra