Share via

降低 Microsoft Sentinel 的成本

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 的成本只是 Azure 賬單中每月成本的一部分。 雖然本文說明如何降低 Microsoft Sentinel 的成本,但您需支付 Azure 訂用帳戶使用的所有 Azure 服務和資源費用,包括合作夥伴服務。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

設定或變更定價層

若要針對最高節省量進行優化,請監視您的擷取磁碟區,以確保您的承諾層最符合您的擷取磁碟區模式。 請考慮增加或減少您的承諾層級,以配合變更的數據磁碟區。

您可以隨時增加承諾用量層級,這會重新啟動 31 天的承諾期間。 不過,若要回到隨用隨付或較低的承諾用量層級,您必須等到 31 天的承諾期間完成之後。 承諾用量層的計費是每日計費。

若要查看您目前的 Microsoft Sentinel 定價層,請在 Microsoft Sentinel 左側導覽中選取 [設定],然後選取 [定價] 索引卷標。您目前的定價層會標示為 [目前] 層

若要變更定價層承諾用量,請在定價頁面上選取其中一個其他層,然後選取 [ 套用]。 您必須擁有 Microsoft Sentinel 工作區的參與者擁有者 ,才能變更定價層。

Microsoft Sentinel 設定中定價頁面的螢幕快照,其中已選取 [隨用隨付] 作為目前的定價層。

若要深入瞭解如何監視成本,請參閱 管理及監視 Microsoft Sentinel 的成本。

對於仍在使用傳統定價層的工作區,Microsoft Sentinel 定價層不包含 Log Analytics 費用。 如需詳細資訊,請參閱 簡化的定價層。

在不同的工作區中分隔非安全性數據

Microsoft Sentinel 會分析內嵌至已啟用 Microsoft Sentinel 的 Log Analytics 工作區中的所有數據。 最好為非安全性作業數據建立個別工作區,以確保它不會產生 Microsoft Sentinel 成本。

在 Microsoft Sentinel 中搜捕或調查威脅時,您可能需要存取儲存在這些獨立 Azure Log Analytics 工作區中的作業數據。 您可以在記錄探索體驗和活頁簿中使用跨工作區查詢來存取此數據。 不過,除非在所有工作區上啟用 Microsoft Sentinel,否則您無法使用跨工作區分析規則和搜捕查詢。

針對高容量低安全性值的數據開啟基本記錄數據擷取 (預覽)

與分析記錄不同, 基本記錄 通常是詳細資訊。 它們包含大量和低安全性價值數據的組合,這些數據不會經常使用或視需要存取特定查詢、調查和搜尋。 為符合資格的數據表啟用基本記錄數據擷取成本大幅降低。 如需詳細資訊,請參閱 Microsoft Sentinel 定價

使用專用叢集優化Log Analytics成本

如果您將至少 500 GB 內嵌至相同區域中的 Microsoft Sentinel 工作區或工作區,請考慮移至 Log Analytics 專用叢集以降低成本。 Log Analytics 專用叢集承諾層會跨工作區匯總數據量,這些工作區共內嵌 500 GB 或更多。 如需詳細資訊,請參閱 專用叢集的簡化定價層。

您可以將多個 Microsoft Sentinel 工作區新增至 Log Analytics 專用叢集。 使用適用於 Microsoft Sentinel 的 Log Analytics 專用叢集有幾個優點:

  • 如果查詢所涉及的所有工作區都位於專用叢集中,跨工作區查詢的執行速度會更快。 在您的環境中,最好有盡可能少的工作區,而專用叢集仍保留 100 個工作區限制 ,以包含在單一跨工作區查詢中。

  • 專用叢集中的所有工作區都可以共用叢集上設定的Log Analytics承諾用量層。 不需要認可每個工作區的Log Analytics承諾層,就能節省成本並提高效率。 藉由啟用專用叢集,您每天會認可最低 500 GB 的 Log Analytics 承諾層。

以下是移至專用叢集以進行成本優化的其他一些考慮:

  • 每個區域和訂用帳戶的叢集數目上限為兩個。
  • 連結至叢集的所有工作區都必須位於相同的區域中。
  • 連結至叢集的工作區上限為 1000。
  • 您可以從叢集取消連結連結工作區。 特定工作區上的連結作業數目限制為30天內的兩個。
  • 您無法將現有的工作區移至客戶管理的金鑰 (CMK) 叢集。 您必須在叢集中建立工作區。
  • 目前不支援將叢集移至另一個資源群組或訂用帳戶。
  • 如果工作區連結到另一個叢集,則叢集的工作區連結會失敗。

如需專用叢集的詳細資訊,請參閱 Log Analytics專用叢集

使用 Azure 資料總管或封存的記錄來降低長期資料保留成本(預覽)

Microsoft Sentinel 數據保留期為前 90 天免費。 若要在 Log Analytics 中調整數據保留期間,請選取左側導覽中的 [使用量] 和 [估計成本],然後選取 [數據保留],然後調整滑桿。

Microsoft Sentinel 安全性數據可能會在幾個月後遺失部分價值。 安全性作業中心 (SOC) 使用者可能不需要像較新的數據一樣頻繁存取較舊的數據,但仍可能需要存取數據以進行零星調查或稽核目的。

為了協助您降低 Microsoft Sentinel 數據保留成本,Azure 監視器現在提供封存的記錄。 封存的記錄會長期儲存記錄數據,最多七年,成本降低,並限制其使用量。 封存的記錄處於公開預覽狀態。 如需詳細資訊,請參閱 在 Azure 監視器記錄中設定數據保留和封存原則。

或者,您也可以以較低的成本使用 Azure 數據總管進行長期數據保留。 Azure 數據總管可為不再需要 Microsoft Sentinel 安全性智慧的過時數據提供適當的成本和可用性平衡。

使用 Azure 資料總管,您可以以較低的價格儲存數據,但仍使用與 Microsoft Sentinel 相同的 Kusto 查詢語言 (KQL) 查詢來探索數據。 您也可以使用 Azure 數據總管 Proxy 功能來執行跨平台查詢。 這些查詢會匯總並相互關聯分散在 Azure 數據總管、Application Insights、Microsoft Sentinel 和 Log Analytics 之間的數據。

如需詳細資訊,請參閱 整合 Azure 數據總管以進行長期記錄保留

針對 Windows 安全性 事件使用數據收集規則

Windows 安全性 事件連接器可讓您從任何執行 Windows Server 且連線到 Microsoft Sentinel 工作區的電腦串流安全性事件,包括實體、虛擬或內部部署伺服器,或任何雲端。 此連接器包含 Azure 監視器代理程式的支援,其會使用資料收集規則來定義要從每個代理程式收集的數據。

數據收集規則可讓您大規模管理收集設定,同時仍允許機器子集的唯一範圍設定。 如需詳細資訊,請參閱設定 Azure 監視器代理程式的資料收集

除了您可以選取擷取的預先定義事件集,例如 [所有事件]、[最小] 或 [一般],數據收集規則可讓您建置自定義篩選,並選取要內嵌的特定事件。 Azure 監視器代理程式會使用這些規則來篩選來源的數據,然後只擷取您選取的事件,同時保留其他所有專案。 選取要擷取的特定事件可協助您優化成本並節省更多成本。

下一步