降低 Microsoft Sentinel 的成本

  • 適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel 的費用只是您 Azure 帳單每月費用的一部分。 雖然本文說明了如何降低Microsoft Sentinel成本,但你仍需為Azure訂閱所使用的所有Azure服務和資源付費,包括合作夥伴服務。

重要事項

2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel

如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗

設定或更改價格等級

為了優化最大節省,請監控你的攝取量,確保你擁有最符合攝取量模式的承諾層級。 考慮增加或降低你的承諾等級,以配合資料量的變化。

你可以隨時提高承諾等級,這樣會重新開始31天的承諾期。 然而,若要回到現用付費或較低的承諾等級,必須等到31天承諾期結束後才能恢復。 承諾層級的計費是每日進行的。

要查看您目前的 Microsoft Sentinel 價格等級,請在 Microsoft Sentinel 左側導覽中選擇設定,然後選擇「價格」標籤。您目前的定價等級標示為「目前等級」。

要更改您的定價層級承諾,請在定價頁面選擇其他層級之一,然後選擇 「套用」。 您必須擁有 Microsoft Sentinel Workspace 的貢獻者擁有者,才能更改價格層級。

Microsoft Sentinel 設定中價格頁面的截圖,目前選為「隨用付費」作為目前的定價層級。

想了解更多如何監控成本,請參閱「管理與監控 Microsoft Sentinel 成本」。

對於仍使用經典定價層級的工作空間,Microsoft Sentinel 的定價層級不包含 Log Analytics 的費用。 欲了解更多資訊,請參閱「了解 Microsoft Sentinel 的完整計費模式」。

購買預購方案

當你預先購買Microsoft Sentinel (CU) 承諾單位時,可以節省Microsoft Sentinel分析層的成本。 在一年購買期間的任何時間都可以使用預購的信用額度。

任何符合資格的 Microsoft Sentinel 成本會自動從預購的 CU 中扣除。 你不需要重新部署或指派預購方案到你的 Microsoft Sentinel 工作空間,才能享有預先購買的折扣。

欲了解更多資訊,請參閱「優化 Microsoft Sentinel 預購計畫成本」。

將非安全資料分開到不同的工作區

Microsoft Sentinel 會分析所有匯入支援 Microsoft Sentinel 的日誌分析工作區的資料。 最好為非安全作業資料設立獨立工作區,以確保不會產生 Microsoft Sentinel 的成本。

使用 Microsoft Sentinel 資料湖來處理低保真度或次級安全資料

雖然分析層級最適合持續且即時的威脅偵測,但 Microsoft Sentinel 資料湖則非常適合查詢與分析非即時威脅偵測所需的次級安全資料。 Microsoft Sentinel 資料湖提供資料擷取與儲存,成本大幅降低。 欲了解更多資訊,請參閱 Microsoft Sentinel 定價

利用專用叢集優化日誌分析成本

如果你在 Microsoft Sentinel 工作區或同一區域內的工作空間中至少匯入 100 GB,建議考慮遷移到專用的 Log Analytics 叢集以降低成本。 Log Analytics 專用叢集承諾層會整合跨工作空間的資料量,這些工作空間合計總共匯入 100 GB 或以上的資料量。 更多資訊請參閱 專用叢集的簡化定價層級。

你可以將多個 Microsoft Sentinel 工作空間加入 Log Analytics 專用叢集。 使用專用的 Log Analytics 叢集給 Microsoft Sentinel 有幾個優點:

  • 如果所有涉及的工作空間都在專用叢集中,跨工作空間查詢會執行得更快。 在環境中工作空間越少越好,而專用叢集仍保留 100 個工作區的限制 ,允許單一跨工作空間查詢。

  • 專用叢集中的所有工作空間都可以共享叢集上的 Log Analytics 承諾層級集合。 不必為每個工作空間承諾獨立的 Log Analytics 承諾層級,能帶來成本節省與效率。 啟用專用叢集,即承諾每日至少 100 GB 的日誌分析承諾層次。

以下是一些在轉換專用叢集以優化成本時需要考慮的其他事項:

  • 每個地區和訂閱的最大群組數量為兩個。
  • 所有連結到叢集的工作空間必須位於同一區域。
  • 叢集連結的工作空間最多為 1000 個。
  • 你可以將連結的工作區從叢集中解除連結。 特定工作區的連結操作次數限制在30天內最多兩次。
  • 你無法將現有工作空間移到客戶管理的金鑰 (CMK) 叢集。 你必須在叢集中建立工作區。
  • 目前不支援將叢集移到其他資源群組或訂閱。
  • 若工作區連結到另一個叢集,則該工作區連結會失敗。

欲了解更多專用叢集資訊,請參閱 Log Analytics 專用叢集

以總保留降低資料保留成本

Microsoft Sentinel 預設保留分析層級資料,涵蓋分析保留期的前 90 天。 隨著資料老化,其在即時分析與調查中的價值逐漸減弱。 安全運營中心 (SOC) 使用者可能較少頻繁存取舊資料,但仍希望存取資料以進行更廣泛的歷史調查或稽核。 為了幫助你降低 Microsoft Sentinel 的資料保留成本,提供總保留功能。 即使資料已超出分析保留狀態,仍可大幅降低成本保留,並透過資料湖探索功能存取。 欲了解更多資訊,請參閱 湖泊探索與KQL查詢

使用 資料管理 > 表 來調整分析與總保留期間。

為您的 Windows 安全性事件使用資料收集規則

Windows 安全性事件連接器讓你能從任何連接 Microsoft Sentinel 工作空間的 Windows Server 電腦串流安全事件,包括實體、虛擬或本地伺服器,或任何雲端。 此連接器包含對 Azure Monitor 代理程式的支援,該代理程式使用資料收集規則來定義從每個代理程式收集的資料。

資料收集規則讓你能大規模管理收集設定,同時仍允許對機器子集進行獨特且有範圍的設定。 欲了解更多資訊,請參閱「配置 Azure 監控代理的資料收集

除了你可以選擇要匯入的預設事件集合(如所有事件、最小事件或共通事件)外,資料收集規則還能讓你建立自訂篩選條件,並選擇特定事件來導入。 Azure Monitor 代理程式會利用這些規則在來源處過濾資料,然後只擷取你選擇的事件,其他部分則不理會。 選擇特定事件來接收,有助於你優化成本並節省更多費用。

後續步驟

  • Last updated on