降低 Microsoft Sentinel 的成本
Microsoft Sentinel 的成本只是您 Azure 帳單中每月成本的一部分。 雖然本文說明如何降低 Microsoft Sentinel 的成本,但您還必須為 Azure 訂用帳戶使用的所有 Azure 服務和資源支付費用,包括協力廠商服務。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
設定或變更定價層
若要最佳化以節省最多成本,請監視您的擷取量,以確保您具有最接近擷取量模式的承諾用量層。 請考慮增加或減少您的承諾層級,以配合變更的資源磁碟區。
您可以隨時增加承諾用量層,這會重新開始 31 天的承諾用量期間。 不過,若要移回到隨用隨付或降低承諾用量層,您必須等到 31 天的承諾用量期間完成。 承諾用量層是按日計費。
若要查看您目前的 Microsoft Sentinel 定價層,請在Microsoft Sentinel 左側導覽中選取 [設定] ,然後選取 [價格] 索引標籤。您目前的定價層會標示為 [目前層]。
若要變更您的定價層承諾用量,請在定價頁面上選取其中一個其他定價層,然後選取 [套用]。 您必須是 Microsoft Sentinel 工作區的參與者或擁有者,才能變更定價層。
若要深入瞭解如何監視成本,請參閱 管理及監視 Microsoft Sentinel 的成本。
對於仍在使用傳統定價層的工作區,Microsoft Sentinel 定價層不包含 Log Analytics 費用。 如需詳細資訊,請參閱 簡化的定價層。
購買預先購買方案
當您預先購買 Microsoft Sentinel 認可單位 (CU) 時,節省 Microsoft Sentinel 成本。 在一年的購買期限內,使用預先購買的 CU。
任何合格的 Microsoft Sentinel 成本都會自動從預先購買的 CU 中扣除。 您不需要將預先購買的方案重新部署或指派到 Microsoft Sentinel 工作區來獲得 CU 使用量,即可取得預先購買折扣。
如需詳細資訊,請參閱使用預先購買方案將 Microsoft Sentinel 成本最佳化。
在不同的工作區中分隔非安全性資料
Microsoft Sentinel 會分析擷取至已啟用 Microsoft Sentinel 的 Log Analytics 工作區中的所有資料。 最好有個別工作區來放置非安全性作業資料,以確保不會產生 Microsoft Sentinel 成本。
在 Microsoft Sentinel 中搜捕或調查威脅時,您可能需要存取這些獨立 Azure Log Analytics 工作區中儲存的作業資料。 您可以在記錄探索體驗和活頁簿中使用跨工作區查詢來存取此資料。 不過,除非已在所有工作區上啟用 Microsoft Sentinel,否則您無法使用跨工作區分析規則和搜捕查詢。
針對大量低價值的資料選取低成本記錄類型
雖然標準分析記錄最適合連續即時的威脅偵測,但基本記錄和輔助記錄這其他兩種記錄類型,更適合臨機查詢,以及搜尋不常需要或視需要存取的大量詳細資訊低價值記錄。 針對符合資格的資料表,以成本大幅降低的方式啟用基本記錄資料擷取,或以成本甚至更低的方式啟用輔助記錄資料擷取 (目前為預覽版)。 如需詳細資訊,請參閱 Microsoft Sentinel 定價。
使用專用叢集最佳化 Log Analytics 成本
如果您將至少 100 GB 內嵌至相同區域中的 Microsoft Sentinel 工作區或工作區,請考慮移至 Log Analytics 專用叢集以降低成本。 Log Analytics 專用叢集承諾層會跨工作區匯總數據量,這些工作區共內嵌 100 GB 以上。 如需詳細資訊,請參閱 專用叢集的簡化定價層。
您可以將多個 Microsoft Sentinel 工作區新增至 Log Analytics 專用叢集。 針對 Microsoft Sentinel 使用 Log Analytics 專用叢集有幾個優點:
如果查詢涉及的所有工作區都位於專用叢集中,則跨工作區查詢的執行速度會更快。 最好在您環境中的工作區儘可能地少,而且專用叢集仍保留 100 個工作區限制,以包含在單一跨工作區查詢中。
專用叢集中的所有工作區都可以共用叢集上設定的 Log Analytics 承諾用量層。 不必認可每個工作區的個別 Log Analytics 承諾用量層,就能節省成本並提升效率。 藉由啟用專用叢集,您每天會認可最低 100 GB 的 Log Analytics 承諾層。
以下是移至專用叢集以進行成本最佳化的一些其他考量:
- 每個區域和訂用帳戶的叢集數目上限為二。
- 連結至叢集的所有工作區都必須位於相同的區域中。
- 連結至叢集的工作區數目上限為 1000。
- 您可以從叢集取消連結已連結的工作區。 特定工作區上的連結作業數目限制為 30 天內的兩個。
- 您無法將現有的工作區移至客戶自控金鑰 (CMK) 叢集。 您必須在叢集中建立工作區。
- 目前不支援將叢集移至另一個資源群組或訂用帳戶。
- 如果工作區連結到另一個叢集,則工作區連結至叢集會失敗。
如需專用叢集的詳細資訊,請參閱 Log Analytics 專用叢集。
使用長期保留降低資料保留成本
Microsoft Sentinel 預設會在前 90 天以互動式形式保留資料。 若要調整 Log Analytics 中的資料保留期間,請選取左側導覽中的 [使用量和估計成本],接著選取 [資料保留],然後調整滑杆。
Microsoft Sentinel 安全性資料可能會在幾個月後遺失其部分價值。 安全性作業中心 (SOC) 使用者可能不需要像較新的資料一樣頻繁地存取較舊的資料,但仍可能需要存取資料以進行偶爾調查或稽核。
為了協助您降低 Microsoft Sentinel 資料保留成本,Azure 監視器現在提供長期保留。 期限超過其互動式保留狀態的資料,最長仍可保留 12 年,成本大幅降低,而且有使用量限制。 如需詳細資訊,請參閱在 Log Analytics 工作區中管理資料保留。
註冊輔助記錄方案 (目前為預覽版) 中包含次要安全性資料的資料表,可進一步降低成本。 此方案可讓您以低價儲存大量低價值記錄,並在一開始透過低成本的 30 天互動式保留期間實現摘要和基本查詢。 若要深入了解輔助記錄方案和其他方案,請參閱 Log retention plans in Microsoft Sentinel (內容為英文)。 雖然輔助記錄方案仍為預覽版,但您也可以選擇在基本記錄方案註冊這些資料表。 基本記錄提供與輔助記錄類似的功能,但節省的成本較少。
針對您的 Windows 安全性事件使用資料收集規則
Windows 安全性事件連接器可讓您將安全性事件從任何執行 Windows Server 且連線的電腦串流到 Microsoft Sentinel 工作區,包括實體、虛擬或內部部署伺服器,或在任何雲端中。 此連接器包含 Azure 監視器代理程式的支援,其會使用資料收集規則來定義要從每個代理程式收集的數據。
資料收集規則可讓您大規模管理集合設定,同時仍允許電腦子集的唯一範圍設定。 如需詳細資訊,請參閱 設定 Azure 監視器代理程序的數據收集。
除了您可以選取要擷取的預先定義事件集之外,例如 [所有事件]、[最小] 或 [一般],資料收集規則還可讓您建置自訂篩選條件,並選取要擷取的特定事件。 Azure 監視器代理程式會使用這些規則來篩選來源的資源,然後只內嵌您選取的事件,同時捨棄所有其他項目。 選取要擷取的特定事件可協助您最佳化成本並節省更多成本。
下一步
- 了解如何透過 Microsoft 成本管理將雲端投資最佳化。
- 深入了解如何使用成本分析管理成本。
- 了解如何避免非預期成本。
- 參加成本管理引導式學習課程。
- 如需減少 Log Analytics 資料量的其他秘訣,請參閱 Azure 監視器最佳做法 - 成本管理。