管理及監視 Microsoft Sentinel 的成本

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

開始使用 Microsoft Sentinel 資源之後，請使用成本管理功能來設定預算並監視成本。 您也可以檢閱預測成本，並找出花費趨勢來識別您可能想要採取行動的區域。

Microsoft Sentinel 的成本只是 Azure 賬單中每月成本的一部分。 雖然本文說明如何管理和監視 Microsoft Sentinel 的成本，但您需支付 Azure 訂用帳戶使用的所有 Azure 服務和資源費用，包括合作夥伴服務。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要在成本管理中檢視成本數據並執行成本分析，您必須擁有至少具有讀取許可權的支援 Azure 帳戶類型。

雖然成本管理中的成本分析支援大部分的 Azure 帳戶類型，但不支援所有帳戶類型。 若要檢視所支援帳戶類型的完整清單，請參閱了解成本管理資料。

如需 Microsoft 成本管理資料的存取權指派相關資訊，請參閱指派資料的存取權。

使用成本分析來檢視成本

當您搭配 Microsoft Sentinel 使用 Azure 資源時，會產生成本。 Azure 資源使用量單位成本會因時間間隔而異，例如秒、分鐘、小時和天，或單位使用量，例如位元組和 MB。 一旦 Microsoft Sentinel 開始分析可計費數據，就會產生成本。 使用 Azure 入口網站 中的成本分析來檢視這些成本。 如需詳細資訊，請參閱 開始使用成本分析。

當您使用成本分析時，您可以在圖表和數據表中檢視不同時間間隔的 Microsoft Sentinel 成本。 一些範例包括依日期、目前和先前月份，以及年度。 您也可以根據預算和預測成本來檢視成本。 切換至更長時間的檢視，有助於找出費用趨勢。 您也會看到可能發生超支的位置。 如果您已建立預算，還可以輕鬆地查看已超出預算的位置。

Microsoft 成本管理 + 計費中樞提供實用的功能。 在 Azure 入口網站 中開啟 [成本管理 + 計費] 之後，請在左側導覽中選取 [成本管理]，然後選取要調查的資源範圍或集合，例如 Azure 訂用帳戶或資源群組。

[ 成本分析] 畫面會顯示 Azure 使用量和成本的詳細檢視，以及套用各種控件和篩選的選項。

例如，若要查看特定時間範圍的每日成本圖表：

1. 選取 [檢視] 字段中的下拉式插入號，然後選取 [累積成本] 或 [每日成本]。

2. 選取日期欄位中的下拉式插入號，然後選取日期範圍。

3. 選取 [粒度] 旁的下拉式插入號，然後選取 [每日]。

   下圖中顯示的成本僅供範例之用。 它們不打算反映實際成本。

   

您也可以套用進一步的控制件。 例如，若要只檢視與 Microsoft Sentinel 相關聯的成本，請選取 [新增篩選]、選取 [服務名稱]，然後選取服務名稱 Sentinel、 Log Analytics 和 Azure 監視器。

Microsoft Sentinel 數據擷取磁碟區會出現在某些入口網站使用圖表的 [安全性深入解析] 底下。

Microsoft Sentinel 傳統定價層不包含 Log Analytics 費用，因此您可能會看到個別計費的費用。 Microsoft Sentinel 簡化的定價會將這兩個成本結合成一組層。 若要深入瞭解 Microsoft Sentinel 的簡化定價層，請參閱 簡化的定價層。

如需降低成本的詳細資訊，請參閱在 Microsoft Sentinel 中建立預算和降低成本。

搭配 Microsoft Sentinel 使用 Azure 預付款

您可以使用 Azure 預付款點數支付 Microsoft Sentinel 費用。 不過，您無法使用 Azure 預付款點數向非 Microsoft 組織支付其產品和服務費用，或從 Azure Marketplace 支付產品費用。

執行查詢以了解數據擷取

Microsoft Sentinel 會使用廣泛的查詢語言來分析、互動，並在數秒內從大量作業數據衍生見解。 以下是一些可用來了解數據擷取磁碟區的 Kusto 查詢。

執行下列查詢，依解決方案顯示資料擷取磁碟區：

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

執行下列查詢，依數據類型顯示數據擷取磁碟區：

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

執行下列查詢，依解決方案和數據類型顯示資料擷取磁碟區：

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

部署活頁簿以將數據擷取可視化

工作區 使用量報表活頁簿 會提供工作區的數據耗用量、成本和使用量統計數據。 活頁簿會提供工作區的數據擷取狀態，以及免費和可計費的數據量。 您可以使用活頁簿邏輯來監視數據擷取和成本，以及建置自定義檢視和以規則為基礎的警示。

此活頁簿也提供細微的擷取詳細數據。 活頁簿會依數據表細分工作區中的數據，並提供每個數據表和專案的磁碟區，以協助您進一步瞭解擷取模式。

若要啟用工作區使用量報表活頁簿：

1. 在 Microsoft Sentinel 左側導覽中，選取 [威脅管理>活頁簿]。
2. 在搜尋列中輸入 工作區使用量 ，然後選取 [ 工作區使用量報告]。
3. 選取 [檢視範本] 直接使用活頁簿，或選取 [儲存] 以建立活頁簿的可編輯複本。 如果您儲存復本，請選取 [ 檢視儲存的活頁簿]。
4. 在活頁簿中，選取您要檢視的 [訂用帳戶] 和 [工作區]，然後將 TimeRange 設定為您想要查看的時間範圍。 您可以將 [ 顯示說明] 切換為 [ 是 ] 以在活頁簿中顯示就地說明。

匯出成本資料

您也可以將成本資料匯出到儲存體帳戶。 當您需要或其他人針對成本執行更多數據分析時，匯出成本數據會很有説明。 例如，財務小組可以使用 Excel 或 Power BI 來分析資料。 您可以根據每日、每週或每月排程來匯出成本，並設定自訂日期範圍。 若要取得成本資料集，建議採用匯出成本資料集的方式。

建立預算

您可以建立預算來管理成本，以及建立警示，以在出現異常消費和超支風險時自動通知利害關係人。 警示是以支出為基礎 (相較於預算和成本閾值)。 系統會為 Azure 訂用帳戶和資源群組建立預算和警示，因此在整體成本監視策略中十分實用。

如果您想要在監視中取得更多粒度，您可以使用 Azure 中特定資源或服務的篩選條件來建立預算。 篩選器可協助確保您不會意外建立新的資源，而需要支付更多的費用。 如需有關建立預算時可用篩選選項的詳細資訊，請參閱群組和篩選選項。

針對成本管理警示使用劇本

為了協助您控制 Microsoft Sentinel 預算，您可以建立成本管理劇本。 如果 Microsoft Sentinel 工作區超過您在指定時間範圍內定義的預算，劇本就會傳送警示。

Microsoft Sentinel GitHub 社群提供 Send-IngestionCostAlert GitHub 上的成本管理劇本。 此劇本是由週期觸發程序啟動，並提供您高階的彈性。 您可以根據需求來控制執行頻率、擷取磁碟區，以及要觸發的訊息。

定義 Log Analytics 中的資料量上限

在 Log Analytics 中，您可以啟用每日磁碟區上限，以限制工作區的每日擷取。 每日上限可協助您管理數據量意外增加、保持在限制內，以及限制非計劃性費用。

若要定義每日磁碟區上限，請在Log Analytics工作區的左側導覽中選取 [ 使用量和估計成本 ]，然後選取 [ 每日上限]。 選取 [ 開啟]，輸入每日磁碟區上限數量，然後選取 [ 確定]。

[ 使用量和估計成本 ] 畫面也會顯示過去 31 天內擷取的數據量趨勢，以及保留的數據量總計。

如需詳細資訊，請參閱 在Log Analytics工作區上設定每日上限。

下一步

• 降低 Microsoft Sentinel 的成本
• 了解如何透過 Microsoft 成本管理將雲端投資最佳化。
• 深入了解如何使用成本分析管理成本。
• 了解如何避免非預期成本。
• 參加成本管理引導式學習課程。
• 如需減少 Log Analytics 數據量的詳細資訊秘訣，請參閱 Azure 監視器最佳做法 - 成本管理。