Управление затратами и мониторинг затрат для Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Начав работу с ресурсами Microsoft Sentinel, используйте функции управления затратами для расчета бюджетов и мониторинга затрат. Также проанализируйте прогнозируемые затраты и определите тенденции расходов для выявления областей, в которых может потребоваться действовать.

Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. В этой статье описаны методы управления и мониторинга для затрат на Microsoft Sentinel, но в счет включаются все службы и ресурсы Azure, используемым в вашей подписке Azure, в том числе партнерские.

Внимание

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Чтобы просматривать и анализировать данные о затратах в службе "Управление затратами", вам необходим поддерживаемый тип учетной записи Azure с доступом по крайней мере на чтение.

Анализ затрат в службе "Управление затратами" поддерживает большинство типов учетных записей Azure, но не все. Полный список поддерживаемых типов учетных записей см. в статье Understand Cost Management data (Интерпретация данных службы "Управление затратами").

Сведения о назначении доступа к данным Microsoft Cost Management см. в разделе "Назначение доступа к данным".

Просмотр затрат с помощью анализа затрат

За использовании ресурсов Azure в Microsoft Sentinel взимается плата. Плата за единицу использования ресурсов Azure зависит от интервалов времени (секунды, минуты, часы и дни) или использования единиц потребления (байты, мегабайты и т. д.). Как только Microsoft Sentinel начинает анализировать оплачиваемые данные, она несет расходы. Просмотрите эти затраты с помощью анализа затрат в портал Azure. Дополнительные сведения см. в статье "Начало анализа затрат".

В анализе затрат вы можете просматривать расходы на Microsoft Sentinel в виде графиков и таблиц для различных временных интервалов. Например, можно отслеживать данные за день, текущий и предыдущий месяц и год. Вы также можете просматривать затраты по бюджету и прогнозируемые затраты. Чтобы выявить тенденции по затратам, можно выбрать представления затрат в динамике за более длительный срок. Это позволяет определить, где возможен перерасход средств. Если вы создали бюджеты, вы также можете легко увидеть, где они превышены.

Центр управления затратами и выставлением счетов Майкрософт предоставляет полезные функции. После открытия элемента Управление затратами + выставление счетов на портале Azure выберите Управление затратами в области навигации слева, а затем выберите область или набор ресурсов для изучения, например подписку Azure или группу ресурсов.

На экране Анализ затрат доступны подробные представления об использовании и затратах Azure с возможностью применять к ним разные элементы управления и фильтры.

Например, чтобы просмотреть диаграммы ежедневных затрат за определенный промежуток времени, сделайте следующее.

1. Выберите раскрывающийся список в поле Вид и выберите Накопленные затраты или Ежедневные затраты.

2. Выберите раскрывающийся список в поле даты и выберите диапазон дат.

3. Выберите раскрывающийся список рядом с параметром Детализация и выберите Ежедневно.

   Затраты на изображении ниже указаны только для примера. Они не отражают фактические затраты.

   

Можно также применить дополнительные элементы управления. Например, чтобы просмотреть только затраты, связанные с Microsoft Sentinel, выберите фильтр, выберите имя службы, а затем выберите имена служб Sentinel, Log Analytics и Azure Monitor.

На некоторых диаграммах использования на портале объемы принимаемых Microsoft Sentinel данных указаны в разделе Сведения о безопасности.

Классические ценовые категории Microsoft Sentinel не включают плату Log Analytics, поэтому вы можете увидеть эти расходы отдельно. Упрощенная цена Microsoft Sentinel объединяет две затраты на один набор уровней. Дополнительные сведения об упрощенных ценовых категориях Microsoft Sentinel см. в статье "Упрощенная ценовая категория".

Дополнительные сведения о снижении затрат см. в статье "Создание бюджетов и сокращение затрат в Microsoft Sentinel".

Использование предоплаты Azure для Microsoft Sentinel

Вы можете оплачивать использование Microsoft Sentinel с использованием предоплаты Azure. Однако вы не можете использовать кредит на предоплату Azure для оплаты счетов в организации, отличные от Майкрософт, для своих продуктов и услуг или продуктов из Azure Marketplace.

Выполнение запросов для получения представления о приеме данных

Microsoft Sentinel использует расширенный язык запросов для анализа, получения ценной информации из огромных объемов рабочих данных и взаимодействия с ней в считаные секунды. Ниже приведены некоторые запросы Kusto, которые можно использовать для получения представления об объеме принимаемых данных.

Выполните следующий запрос, чтобы отобразить объем принятых данных по решению.

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Выполните следующий запрос, чтобы отобразить объем принятых данных по типу данных.

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Выполните следующий запрос, чтобы отобразить объем принятых данных по решению и типу данных.

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Развертывание книги для визуализации приема данных

В книге Отчет об использовании рабочей области представлена статистика потребления, затрат и использования данных в рабочей области. На основе представленных в книге сведений вы сможете получить представление о состоянии приема данных в рабочей области и объеме бесплатных и оплачиваемых данных. Логику книги можно использовать для мониторинга принимаемых данных и затрат, а также для создания настраиваемых представлений и оповещений на основе правил.

В ней также представлены подробные сведения о приеме. В книге данные рабочей области разбиты по таблицам данных, а также указаны объемы данных на таблицу и запись, что помогает понять характер приема данных.

Чтобы включить книгу "Отчет об использовании рабочей области", выполните указанные ниже действия.

1. В области навигации Microsoft Sentinel слева выберите пункт Управление угрозами>Книги.
2. Введите использование рабочей области в поле поиска, а затем выберите Отчет об использовании рабочей области.
3. Выберите Просмотр шаблона, чтобы использовать книгу как есть, или выберите Сохранить, чтобы создать редактируемую копию книги. При сохранении копии выберите Просмотр сохраненной книги.
4. В книге выберите подписку и рабочую область, которые необходимо просмотреть, а затем задайте для параметра TimeRange интервал времени, данные за который требуется просмотреть. Можно установить переключатель Показать справку в положение Да, чтобы отобразить пояснения в книге.

Экспорт данных о затратах

Можно также экспортировать данные о затратах в учетную запись хранения. Это полезно, если вам или другим пользователям требуется дополнительный анализ данных по затратам. Например, специалисты по финансам могут анализировать данные с помощью Excel или Power BI. Можно экспортировать данные о затратах ежедневно, еженедельно или ежемесячно и задать настраиваемый диапазон дат. Экспорт данных по затратам — это рекомендуемый способ извлечения неагрегированных данных о затратах.

Создание бюджетов

Вы можете создать бюджеты, чтобы управлять затратами и создавать оповещения, которые автоматически уведомляют заинтересованные лица о нетипичных и чрезмерных затратах. Оповещения основываются на расходах по сравнению с пороговыми значениями бюджета и затрат. Бюджеты и оповещения создаются для подписок и групп ресурсов Azure, поэтому их рекомендуется использовать в рамках общей стратегии мониторинга затрат.

Если вы хотите повысить степень детализации мониторинга, также можно создать бюджеты с фильтрами для конкретных ресурсов или служб в Azure. Фильтры помогают предотвратить случайное создание новых ресурсов, позволяя избежать дополнительных затрат. Дополнительные сведения о параметрах фильтра при создании бюджета см. в разделе Параметры группы и фильтра.

Использование сборника схем для оповещений об управлении затратами

Чтобы упростить управление бюджетом в Microsoft Sentinel, можно создать сборник схем для управления затратами. Сборник схем отправляет оповещение, если рабочая область Microsoft Sentinel превышает установленный бюджет на определенный период времени.

Сообщество GitHub по Microsoft Sentinel предлагает сборник схем для управления затратами Send-IngestionCostAlert на сайте GitHub. Он активируется триггером повторения и обеспечивает высокий уровень гибкости. Основываясь на своих требованиях, вы можете управлять периодичностью выполнения, объемом принимаемых данных и сообщением для активации.

Определение ограничения объема данных в Log Analytics

В Log Analytics можно включить предельный объем данных, ежедневно принимаемых в рабочую область. Ежедневное ограничение может помочь в управлении непредвиденным увеличением объема данных, оставаться в рамках ограничения и ограничить незапланированные расходы.

Чтобы определить ежедневное ограничение объема, выберите Использование и ожидаемые затраты в области навигации слева в рабочей области Log Analytics, а затем выберите Ограничение ежедневного объема. Выберите Вкл., введите значение ограничения, а затем нажмите OK.

На экране Использование и ожидаемые затраты показан тренд объема принятых данных за последний период в 31 день, а также общий объем хранимых данных.

Дополнительные сведения см. в разделе "Настройка ежедневного ограничения" в рабочей области Log Analytics.

Следующие шаги

• Сокращение затрат на Microsoft Sentinel
• Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
• Ознакомьтесь с дополнительными сведениями об управлении затратами с помощью анализа затрат.
• Узнайте, как предотвратить непредвиденные затраты.
• Пройдите интерактивный курс обучения по управлению затратами.
• Дополнительные советы по сокращению объема данных Log Analytics см. в статье Рекомендации по управлению расходами в Azure Monitor.