Aracılığıyla paylaş

Bulut için Microsoft Defender maliyet hesaplayıcısı ile maliyetleri tahmin edin

Bulut için Microsoft Defender maliyet hesaplayıcısı, bulut güvenliği gereksinimlerinizle ilişkili olası maliyetleri tahmin etmeye yönelik yararlı bir araçtır. Geçerli indirimler dahil olmak üzere ayrıntılı bir maliyet dökümü sağlayarak farklı planları ve ortamları yapılandırmanıza olanak tanır.

Maliyet hesaplayıcıya erişme

Bulut için Defender Maliyet Hesaplayıcısı'nı kullanmaya başlamak için Bulut için Microsoft Defender Ortam Ayarları bölümüne gidin. Arabirimin üst bölümünde bulunan Maliyet Hesaplayıcısı düğmesini seçin.

Ortam Ayarları'ndaki maliyet hesaplayıcısı düğmesinin ekran görüntüsü.

Bulut için Defender planlarını ve ortamlarını yapılandırma

Hesap makinesinin ilk sayfasında Varlık Ekle düğmesini seçerek maliyet hesaplamanıza varlık eklemeye başlayın. Varlık eklemek için üç yönteminiz vardır:

  • Betik ile varlık ekleme: Mevcut varlıkları otomatik olarak eklemek için bir betik indirip yürütür.
  • Eklenen ortamlardan varlık ekleme: Bulut için Defender zaten eklenen ortamlardan varlıklar ekleyin.
  • Özel varlıklar ekleme: Otomasyon kullanmadan varlıkları el ile ekleyin.

Maliyet hesaplayıcısında varlıkların nasıl ekleneceğini gösteren ekran görüntüsü.

Not

Bulut için Defender için rezervasyon planları (P3) dikkate alınmaz.

Betik ile varlık ekleme

  1. Ortam türünü (Azure, AWS veya GCP) seçin ve betiği yeni bir *.ps1 dosyasına kopyalayın.

    Not

    Betik yalnızca onu çalıştıran kullanıcının erişimi olan bilgileri toplar.

  2. Betiği PowerShell 7.X ortamınızda ayrıcalıklı bir kullanıcı hesabı kullanarak çalıştırın. Betik faturalanabilir varlıklarınız hakkında bilgi toplar ve bir CSV dosyası oluşturur. İki adımda bilgi toplar. İlk olarak, genellikle sabit kalan geçerli faturalanabilir varlık sayısını toplar. İkincisi, ay içinde çok fazla değişebilen faturalanabilir varlıklar hakkında bilgi toplar. Bu varlıklar için, maliyeti değerlendirmek için son 30 gün içindeki kullanımı denetler. Betiği, birkaç saniye süren ilk adımdan sonra durdurabilirsiniz. Öte yandan dinamik varlıklar için son 30 günlük kullanımı toplamaya devam edebilirsiniz ve bu da büyük hesaplar için daha uzun sürebilir.

  3. Bu CSV dosyasını betiği indirdiğiniz sihirbaza yükleyin.

  4. İstenen Bulut için Defender planlarını seçin. Hesap makinesi, seçiminize ve mevcut indirimlere göre maliyetleri tahmin eder.

Not

  • Bulut için Defender için rezervasyon planları dikkate alınmaz.
  • API'ler için Defender: Son 30 gün içindeki API çağrılarının sayısına göre maliyeti hesaplarken sizin için en iyi API'ler için Defender planını otomatik olarak seçeriz. Son 30 gün içinde API çağrısı yoksa, hesaplama amacıyla planı otomatik olarak devre dışı bırakırız.

Betik içeren varlıkların nasıl ekleneceğini gösteren ekran görüntüsü.

Betikler için gerekli izinler

Bu bölümde, her bulut sağlayıcısı için betikleri çalıştırmak için gereken izinlere genel bir bakış sağlanır.

Azure

Bu betiği her abonelik için başarıyla çalıştırmak için kullandığınız hesabın şu izinlere sahip olması gerekir:

  • Kaynakları (sanal makineler, depolama hesapları, APIM hizmetleri, Cosmos DB hesapları vb.) keşfedin ve listeleyin.

  • Sorgu Kaynak Grafı (Search-AzGraph aracılığıyla).

  • Ölçümleri okuyun (Get-AzMetric ve Azure İzleyici/İçgörüLER API'leri aracılığıyla).

Önerilen yerleşik rol:

Çoğu durumda, abonelik kapsamındaki Okuyucu rolü yeterlidir. Okuyucu rolü, bu betiğin gerektirdiği aşağıdaki temel özellikleri sağlar:

  • Tüm kaynak türlerini okuyun (depolama hesapları, VM'ler, Cosmos DB ve APIM gibi öğeleri listeleyip ayrıştırabilirsiniz).
  • Get-AzMetric veya doğrudan Azure İzleyici REST sorgularına yapılan çağrıların başarılı olması için ölçümleri okuyun (Microsoft.Insights/metrics/read ).
  • Kaynak Grafı sorguları, abonelikteki bu kaynaklara en azından okuma erişiminiz olduğu sürece çalışır.

Not

Gerekli ölçüm izinlerine sahip olduğunuzdan emin olmak istiyorsanız İzleme Okuyucusu rolünü de kullanabilirsiniz; ancak standart Okuyucu rolü zaten ölçümlere okuma erişimi içerir ve genellikle tek ihtiyacınız olan roldür.

Katkıda Bulunan veya Sahip rolleriniz zaten varsa:

  • Abonelikte Katkıda Bulunan veya Sahip fazlasıyla yeterlidir (bu roller Okuyucu'dan daha yüksek ayrıcalıklıdır).
  • Betik kaynak oluşturma veya silme işlemi gerçekleştirmez. Bu nedenle, veri toplamanın tek amacı için üst düzey rollerin (Katkıda Bulunan/Sahip gibi) verilmesi, en düşük ayrıcalıklı perspektiften fazla olabilir.

Özet:

Kullanıcınıza veya hizmet sorumlunuza sorgulamak istediğiniz her abonelikte Okuyucu rolü (veya daha yüksek ayrıcalıklı bir rol) vermek, betiğin şunları gerçekleştirebilmesini sağlar:

  • Abonelik listesini alın.
  • Tüm ilgili kaynak bilgilerini numaralandırın ve okuyun (REST veya Az PowerShell aracılığıyla).
  • Gerekli ölçümleri getirin (APIM istekleri, Cosmos DB için RU tüketimi, Depolama Hesapları girişi vb.).
  • Kaynak Grafı sorgularını sorun olmadan çalıştırın.
AWS

Aşağıda AWS Kimliğinizin (kullanıcı veya rol) bu betiği başarıyla çalıştırmak için ihtiyaç duyduğu izinlere genel bir bakış sağlanır. Betik kaynakları (EC2, RDS, EKS, S3 vb.) numaralandırır ve bu kaynaklar için meta verileri getirir. Kaynakları oluşturmaz, değiştirmez veya silmez, bu nedenle çoğu durumda salt okunur erişim yeterlidir.

AWS Yönetilen İlkesi: ReadOnlyAccess veya ViewOnlyAccess

En basit yaklaşım, AWS'nin yerleşik salt okunur ilkelerinden birini bu betiği çalıştıran IAM sorumlusuna (kullanıcı/rol) eklemektir. Örnekler şunları içerir:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Bunlardan biri, ÇOĞU AWS hizmeti için açıklama ve listeleme izinlerini kapsar. Ortamınızın güvenlik ilkesi izin veriyorsa ReadOnlyAccess, betiğin listelediğini tüm AWS kaynaklarında çalıştığından emin olmak için en kolay yoldur.

Önemli hizmetler ve gerekli izinler:

Özel IAM ilkesiyle daha ayrıntılı bir yaklaşıma ihtiyacınız varsa, izin vermeniz gereken hizmetler ve izinler şunlardır:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (vCPU/core bilgilerini almak için)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Otomatik Ölçeklendirme (TEMEL alınan EKS düğüm grupları örnekleri için)
    • otomatik ölçeklendirme:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (AWS Hesap Kimliğini almak için)

Ayrıca, betikte gösterilmeyen diğer kaynakları listelemeniz gerekiyorsa veya betiğin özelliklerini genişletmeyi planlıyorsanız, uygun Describe*, List* ve Get* eylemlerini gerektiği gibi sağladığınızı güvence altına alın.

Özet:

  • En basit yol, AWS'nin ec2, RDS, EKS, S3, Otomatik Ölçeklendirme kaynaklarını listelemek ve açıklamak için gereken tüm eylemleri içeren yerleşik ReadOnlyAccess ilkesini eklemek ve hesap bilgilerinizi almak için STS'yi çağırmaktır.
  • Yalnızca yeterli ayrıcalık istiyorsanız EC2, RDS, EKS, Otomatik Ölçeklendirme, S3 ve STS için yukarıdaki Açıklama*, Liste* ve Al* eylemleriyle özel bir salt okunur ilke oluşturun.

Her iki yaklaşım da betiğinize aşağıdakiler için yeterli izinler verir:

  • Bölgeleri listeleyin.
  • EC2 örneği meta verilerini alma.
  • RDS örneklerini alın.
  • EKS kümelerini ve düğüm gruplarını (ve temel alınan Otomatik Ölçeklendirme gruplarını) listeleyin ve açıklayın.
  • S3 demetlerini listeleyin.
  • AWS hesap kimliğinizi STS aracılığıyla alın.

Bu, betiğin herhangi bir şey oluşturmadan, değiştirmeden veya silmeden kaynakları bulmasını ve ilgili meta verileri getirmesini sağlar.

GCP

Aşağıda GCP kullanıcınızın veya hizmet hesabınızın bu betiği başarıyla çalıştırmak için ihtiyaç duyduğu izinlere genel bir bakış sağlanır. Kısacası, betiğin seçtiğiniz projedeki kaynakları (VM örnekleri, Cloud SQL, GKE kümeleri ve GCS demetleri) listelemesi ve tanımlaması gerekir.

Tüm bu kaynaklara salt okunur erişim sağlamak için en basit yaklaşım, kullanıcı veya hizmet hesabınıza proje düzeyinde roller/görüntüleyici rolü vermektir (gcloud yapılandırma kümesi projesi aracılığıyla seçtiğiniz proje).

Roller /görüntüleyici rolü, aşağıdakiler için gerekli izinler de dahil olmak üzere bu projedeki gcp hizmetlerinin çoğuna salt okunur erişim içerir:

  • İşlem Altyapısı (VM örneklerini, örnek şablonlarını, makine türlerini vb.) listeleyin.
  • Cloud SQL (SQL örneklerini listeleme).
  • Kubernetes Altyapısı (liste kümeleri, düğüm havuzları vb.).
  • Bulut Depolama (liste demetleri).

Hizmete göre ayrıntılı izinler (özel rol oluşturuyorsanız):

Daha ayrıntılı bir yaklaşım tercih ediyorsanız, her hizmet için yalnızca gerekli okuma listesi açıklama eylemlerini toplu olarak veren özel bir IAM rolü veya rol kümesi oluşturabilirsiniz:

  • İşlem Altyapısı (VM Örnekleri, Bölgeler, Örnek Şablonları, Örnek Grubu Yöneticileri için):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • container.clusters.list
    • container.clusters.get (kümeleri açıklarken gereklidir)
    • container.nodePools.list
    • container.nodePools.get
  • Bulut Depolama:
    • storage.buckets.list

Betik herhangi bir kaynak oluşturmaz veya değiştirmez, bu nedenle yalnızca tür izinlerini listeleme, alma veya açıklama izinlerini güncelleştirme veya silme izinleri gerektirmez.

Özet:

  • Rolleri/görüntüleyiciyi proje düzeyinde kullanmak, bu betiğin başarılı olması için yeterli izin vermenin en hızlı ve en kolay yoludur.
  • En katı en düşük ayrıcalık yaklaşımına ihtiyacınız varsa yalnızca İşlem Altyapısı, Bulut SQL, GKE ve Bulut Depolama için ilgili listeyi/açıklama/alma eylemlerini içeren özel roller oluşturun veya birleştirin.

Bu izinler söz konusuysa betik şunları yapabilir:

  • Kimlik doğrulaması (gcloud kimlik doğrulaması oturum açma).
  • VM örneklerini, makine türlerini, örnek grubu yöneticilerini vb. listeleme .
  • Cloud SQL örneklerini listeleyin .
  • GKE kümelerini ve düğüm havuzlarını listeleyin/açıklayın .
  • GCS demetlerini listeleyin .

Bu okuma düzeyinde erişim, kaynak sayısını numaralandırmaya ve kaynak oluşturmadan meta verileri toplamaya olanak tanır.

Eklenen varlıkları atama

  1. Maliyet hesaplamasına dahil etmek için zaten Bulut için Defender eklenen Azure ortamları listesinden seçim yapın.

    Not

    Yalnızca ekleme sırasında izin aldığımız kaynakları ekleriz.

  2. Planları seçin. Hesap makinesi, seçimlerinize ve mevcut indirimlere göre maliyeti tahmin eder.

Eklenen varlıkları atamanın ekran görüntüsü.

Özel varlıklar atama

  1. Özel ortam için bir ad seçin.
  2. Planları ve her plan için faturalanabilir varlık sayısını belirtin.
  3. Maliyet hesaplamasına dahil etmek istediğiniz varlık türlerini seçin.
  4. Hesap makinesi, girişlerinize ve mevcut indirimlere göre maliyetleri tahmin eder.

Not

Bulut için Defender için rezervasyon planları dikkate alınmaz.

Özel ortam ekleme ekran görüntüsü.

Raporunuzu ayarlama

Raporu oluşturup planları ve faturalanabilir varlık sayısını ayarlayabilirsiniz:

  1. Düzenle (kalem) simgesini seçerek değiştirmek istediğiniz ortamı seçin.
  2. Planları, faturalanabilir varlık sayısını ve ortalama aylık saatleri ayarlamanıza olanak tanıyan bir yapılandırma sayfası görüntülenir.
  3. Maliyet tahminini güncelleştirmek için Yeniden Hesapla düğmesini seçin.

Raporu dışarı aktarma

Rapordan memnun olduktan sonra, raporu CSV dosyası olarak dışarı aktarabilirsiniz:

  1. Sağ taraftaki Özet panelinin altında bulunan CSV'ye Aktar düğmesini seçin.
  2. Maliyet bilgileri CSV dosyası olarak indirilir.

Sık sorulan sorular

Maliyet hesaplayıcısı nedir?

Maliyet hesaplayıcısı, güvenlik koruma gereksinimlerinize yönelik maliyetleri tahmin etme sürecini basitleştirmek için tasarlanmış bir araçtır. İstediğiniz planların ve ortamların kapsamını tanımladığınızda hesap makinesi, geçerli indirimler de dahil olmak üzere olası giderlerin ayrıntılı dökümünü sağlar.

Maliyet hesaplayıcısı nasıl çalışır?

Hesap makinesi, etkinleştirmek istediğiniz ortamları ve planları seçmenize olanak tanır. Ardından, ortam başına her plan için faturalanabilir birim sayısını otomatik olarak doldurmak için bir bulma işlemi gerçekleştirir. Birim miktarlarını ve indirim düzeylerini el ile de ayarlayabilirsiniz.

Bulma işlemi nedir?

Bulma işlemi, çeşitli Bulut için Defender planlarına göre faturalanabilir varlıkların envanteri de dahil olmak üzere seçili ortamın bir raporunu oluşturur. Bu işlem, bulma sırasında kullanıcı izinlerini ve ortam durumunu temel alır. Büyük ortamlarda dinamik varlıklar da örneklendiği için bu işlem yaklaşık 30-60 dakika sürebilir.

Bulma işlemini gerçekleştirmek için maliyet hesaplayıcısına özel bir izin vermem gerekiyor mu?

Maliyet Hesaplayıcısı, betiği çalıştırmak ve bulma işlemini otomatik olarak gerçekleştirmek için kullanıcının mevcut izinlerini kullanarak daha fazla erişim hakkı gerektirmeden gerekli verileri toplamasını sağlar. Kullanıcının betiği çalıştırmak için hangi izinlere ihtiyacı olduğunu görmek için Betikler için gerekli izinler bölümüne bakın.

Tahminler maliyetimi doğru tahmin ediyor mu?

Hesap makinesi, betik yürütülürken sağlanan bilgilere göre bir tahmin sağlar. Çeşitli faktörler son maliyeti etkileyebilir, bu nedenle yaklaşık bir hesaplama olarak kabul edilmelidir.

Faturalanabilir birimler nelerdir?

Planların maliyeti, korudukları birimlere bağlıdır. Her plan, Bulut için Microsoft Defender Ayarlar sayfasında bulunabilen farklı bir birim türü için ücretlendirilir.

Tahminleri el ile ayarlayabilir miyim?

Evet, maliyet hesaplayıcısı hem otomatik veri toplamaya hem de el ile ayarlamalara olanak tanır. Birim miktarını ve indirim düzeylerini belirli gereksinimlerinizi daha iyi yansıtacak şekilde değiştirebilir ve bu değişikliklerin genel maliyetinizi nasıl etkilediğini görebilirsiniz.

Hesap makinesi birden çok bulut sağlayıcısını destekliyor mu?

Evet, bulut sağlayıcınızdan bağımsız olarak doğru maliyet tahminleri elde etmek için çoklu bulut desteği sunar.

Maliyet tahminimi nasıl paylaşabilirim?

Maliyet tahmininizi oluşturduktan sonra, bütçe planlaması ve onayları için kolayca dışarı aktarabilir ve paylaşabilirsiniz. Bu özellik, tüm paydaşların gerekli bilgilere erişmesini sağlar.

Sorularım varsa nereden yardım alabilirim?

Destek ekibimiz, sorularınız veya endişeleriniz için size yardımcı olmak için hazırdır. Yardım için bize ulaşmaktan çekinmeyin.

Maliyet hesaplayıcısını nasıl deneyebilirim?

Sizi yeni maliyet hesaplayıcısını denemeye ve avantajlarını ilk elden deneyimlemeye davet ediyoruz. Aracınıza erişin ve başlamak için koruma gereksinimlerinizin kapsamını tanımlamaya başlayın. Bulut için Defender Maliyet Hesaplayıcısı'nı kullanmak için Bulut için Microsoft Defender Ayarları'na gidin ve üst bölümdeki Maliyet Hesaplayıcısı düğmesini seçin.

İlgili içerik