Reduza os custos do Microsoft Sentinel
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura do Azure. Embora este artigo explique como reduzir os custos do Microsoft Sentinel, você será cobrado por todos os serviços e recursos do Azure que sua assinatura do Azure usa, incluindo serviços de parceiros.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Definir ou alterar o nível de preços
Para otimizar a maior economia, monitore seu volume de ingestão para garantir que você tenha o Nível de Compromisso mais alinhado com seus padrões de volume de ingestão. Considere aumentar ou diminuir seu Nível de Compromisso para alinhá-lo com volumes de dados variáveis.
Você pode aumentar seu Nível de Compromisso a qualquer momento, o que reinicia o período de compromisso de 31 dias. No entanto, para voltar para o Pay-As-You-Go ou para um Nível de Compromisso mais baixo, você deve esperar até que o período de compromisso de 31 dias termine. A cobrança dos níveis de compromisso é diária.
Para ver o seu nível de preços atual do Microsoft Sentinel, selecione Configurações na navegação esquerda do Microsoft Sentinel e, em seguida, selecione a guia Preço . Seu nível de preço atual está marcado como Nível atual.
Para alterar seu compromisso de camada de preço, selecione um dos outros níveis na página de preços e selecione Aplicar. Você deve ter Colaborador ou Proprietário para o espaço de trabalho do Microsoft Sentinel para alterar a camada de preço.
Para saber mais sobre como monitorar seus custos, consulte Gerenciar e monitorar custos para o Microsoft Sentinel.
Para espaços de trabalho que ainda usam níveis de preços clássicos, os níveis de preços do Microsoft Sentinel não incluem cobranças do Log Analytics. Para obter mais informações, consulte Níveis de preços simplificados.
Separe dados não relacionados à segurança em um espaço de trabalho diferente
O Microsoft Sentinel analisa todos os dados ingeridos nos espaços de trabalho do Log Analytics habilitados para Microsoft Sentinel. É melhor ter um espaço de trabalho separado para dados de operações que não sejam de segurança, para garantir que não incorra em custos do Microsoft Sentinel.
Ao caçar ou investigar ameaças no Microsoft Sentinel, talvez seja necessário acessar dados operacionais armazenados nesses espaços de trabalho autônomos do Azure Log Analytics. Você pode acessar esses dados usando consultas entre espaços de trabalho na experiência de exploração de log e pastas de trabalho. No entanto, você não pode usar regras de análise entre espaços de trabalho e consultas de caça, a menos que o Microsoft Sentinel esteja habilitado em todos os espaços de trabalho.
Ativar a ingestão de dados de logs básicos para dados de alto volume e baixo valor de segurança (visualização)
Ao contrário dos logs de análise, os logs básicos são normalmente detalhados. Eles contêm uma combinação de dados de alto volume e baixo valor de segurança que não são frequentemente usados ou acessados sob demanda para consultas, investigações e pesquisas ad hoc. Habilite a ingestão básica de dados de log a um custo significativamente reduzido para tabelas de dados elegíveis. Para obter mais informações, consulte Preços do Microsoft Sentinel.
Otimize os custos do Log Analytics com clusters dedicados
Se você ingerir pelo menos 500 GB em seu espaço de trabalho do Microsoft Sentinel ou espaços de trabalho na mesma região, considere mudar para um cluster dedicado do Log Analytics para diminuir os custos. Uma camada de compromisso de cluster dedicada do Log Analytics agrega o volume de dados em espaços de trabalho que, coletivamente, ingerem um total de 500 GB ou mais. Para obter mais informações, consulte Nível de preços simplificado para cluster dedicado.
Você pode adicionar vários espaços de trabalho do Microsoft Sentinel a um cluster dedicado do Log Analytics. Há algumas vantagens em usar um cluster dedicado do Log Analytics para o Microsoft Sentinel:
As consultas entre espaços de trabalho são executadas mais rapidamente se todos os espaços de trabalho envolvidos na consulta estiverem no cluster dedicado. Ainda é melhor ter o menor número possível de espaços de trabalho em seu ambiente, e um cluster dedicado ainda mantém o limite de 100 espaços de trabalho para inclusão em uma única consulta entre espaços de trabalho.
Todos os espaços de trabalho no cluster dedicado podem compartilhar a Camada de Compromisso do Log Analytics definida no cluster. Não ter que se comprometer com camadas de compromisso separadas do Log Analytics para cada espaço de trabalho pode permitir economia de custos e eficiência. Ao habilitar um cluster dedicado, você se compromete com uma camada mínima de compromisso do Log Analytics de 500 GB de ingestão por dia.
Aqui estão algumas outras considerações para mudar para um cluster dedicado para otimização de custos:
- O número máximo de clusters por região e assinatura é dois.
- Todos os espaços de trabalho vinculados a um cluster devem estar na mesma região.
- O máximo de espaços de trabalho vinculados a um cluster é 1000.
- Você pode desvincular um espaço de trabalho vinculado do cluster. O número de operações de link em um espaço de trabalho específico é limitado a dois em um período de 30 dias.
- Não é possível mover um espaço de trabalho existente para um cluster de chave gerenciada pelo cliente (CMK). Você deve criar o espaço de trabalho no cluster.
- Atualmente, não há suporte para mover um cluster para outro grupo de recursos ou assinatura.
- Um link de espaço de trabalho para um cluster falhará se o espaço de trabalho estiver vinculado a outro cluster.
Para obter mais informações sobre clusters dedicados, consulte Clusters dedicados do Log Analytics.
Reduza os custos de retenção de dados a longo prazo com o Azure Data Explorer ou logs arquivados (visualização)
A retenção de dados do Microsoft Sentinel é gratuita durante os primeiros 90 dias. Para ajustar o período de retenção de dados no Log Analytics, selecione Uso e custos estimados na navegação à esquerda, selecione Retenção de dados e ajuste o controle deslizante.
Os dados de segurança do Microsoft Sentinel podem perder parte do seu valor após alguns meses. Os usuários do centro de operações de segurança (SOC) podem não precisar acessar dados mais antigos com tanta frequência quanto os dados mais recentes, mas ainda podem precisar acessar os dados para investigações esporádicas ou fins de auditoria.
Para ajudá-lo a reduzir os custos de retenção de dados do Microsoft Sentinel, o Azure Monitor agora oferece logs arquivados. Os logs arquivados armazenam dados de log por longos períodos de tempo, até sete anos, a um custo reduzido com limitações de uso. Os logs arquivados estão em visualização pública. Para obter mais informações, consulte Configurar políticas de retenção e arquivamento de dados no Azure Monitor Logs.
Como alternativa, você pode usar o Azure Data Explorer para retenção de dados de longo prazo a um custo mais baixo. O Azure Data Explorer fornece o equilíbrio certo de custo e usabilidade para dados antigos que não precisam mais de inteligência de segurança do Microsoft Sentinel.
Com o Azure Data Explorer, você pode armazenar dados a um preço mais baixo, mas ainda explorar os dados usando as mesmas consultas KQL (Kusto Query Language) do Microsoft Sentinel. Você também pode usar o recurso de proxy do Azure Data Explorer para fazer consultas entre plataformas. Essas consultas agregam e correlacionam dados espalhados pelo Azure Data Explorer, Application Insights, Microsoft Sentinel e Log Analytics.
Para obter mais informações, consulte Integrar o Azure Data Explorer para retenção de log de longo prazo.
Usar regras de coleta de dados para seus Eventos de Segurança do Windows
O conector de Eventos de Segurança do Windows permite transmitir eventos de segurança de qualquer computador que execute o Windows Server conectado ao seu espaço de trabalho do Microsoft Sentinel, incluindo servidores físicos, virtuais ou locais, ou em qualquer nuvem. Esse conector inclui suporte para o agente do Azure Monitor, que usa regras de coleta de dados para definir os dados a serem coletados de cada agente.
As regras de coleta de dados permitem gerenciar configurações de coleta em escala, ao mesmo tempo em que permitem configurações exclusivas e com escopo para subconjuntos de máquinas. Para obter mais informações, veja Configurar a recolha de dados para o agente do Azure Monitor.
Além dos conjuntos predefinidos de eventos que você pode selecionar para ingerir, como Todos os eventos, Mínimo ou Comum, as regras de coleta de dados permitem criar filtros personalizados e selecionar eventos específicos para ingerir. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos selecionados, deixando todo o resto para trás. Selecionar eventos específicos para ingerir pode ajudá-lo a otimizar seus custos e economizar mais.
Próximos passos
- Saiba como otimizar o seu investimento na nuvem com o Microsoft Cost Management.
- Saiba mais sobre como gerenciar custos com análise de custos.
- Saiba como evitar custos inesperados.
- Faça o curso de aprendizagem guiada em Gestão de Custos.
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, consulte Práticas recomendadas do Azure Monitor - Gerenciamento de custos.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários