Verwalten und Überwachen der Kosten für Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nachdem Sie mit der Nutzung von Microsoft Sentinel-Ressourcen begonnen haben, können Sie mithilfe von Cost Management-Features Budgets festlegen und Kosten überwachen. Sie können auch vorhergesagte Kosten überprüfen und Ausgabentrends ermitteln, um die Bereiche zu identifizieren, in denen ggf. Maßnahmen erforderlich sind.

Kosten für Microsoft Sentinel stellen nur einen Teil der monatlichen Kosten Ihrer Azure-Rechnung dar. Zwar wird in diesem Artikel das Verwalten und Überwachen der Kosten für Microsoft Sentinel erläutert, doch werden Ihnen alle Azure-Dienste und -Ressourcen in Rechnung gestellt, die im Rahmen Ihres Azure-Abonnements verwendet werden, einschließlich Diensten von Partnern.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations Platform im Microsoft Defender Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um Kostendaten anzuzeigen und Kostenanalysen in Cost Management durchzuführen, müssen Sie über einen unterstützten Azure-Kontotyp verfügen, der mindestens Lesezugriff bietet.

Die Kostenanalyse in Cost Management wird von den meisten, jedoch nicht allen Azure-Kontotypen unterstützt. Die vollständige Liste der unterstützten Kontotypen finden Sie unter Grundlegendes zu Cost Management-Daten.

Informationen zum Zuweisen des Zugriffs auf Microsoft Cost Management-Daten finden Sie unter Zuweisen des Zugriffs auf Daten.

Anzeigen von Kosten mithilfe der Kostenanalyse

Sobald Sie Azure-Ressourcen mit Microsoft Sentinel verwenden, fallen Kosten an. Die Kosten pro Azure-Ressourcennutzungseinheit variieren je nach Zeitintervall (Sekunden, Minuten, Stunden und Tage) oder Einheitennutzung (Bytes und Megabytes). Sobald Microsoft Sentinel beginnt, abrechenbare Daten zu analysieren, fallen Kosten an. Zeigen Sie diese Kosten mithilfe der Kostenanalyse im Azure-Portal an. Weitere Informationen finden Sie unter Einstieg in ACM-Kostenanalyse.

Bei der Kostenanalyse können Sie Microsoft Sentinel-Kosten in Diagrammen und Tabellen für unterschiedliche Zeitintervalle anzeigen. Beispiele hierfür sind „Tag“, „Aktueller Monat“, „Vorheriger Monat“ und „Jahr“. Sie können Kosten auch im Vergleich mit Budgets und vorhergesagten Kosten anzeigen. Wenn Sie im Laufe der Zeit zu längeren Zeiträumen wechseln, können Sie Ausgabentrends ermitteln. Außerdem können Sie erkennen, wo es ggf. zu hohen Ausgaben gekommen ist. Wenn Sie Budgets erstellt haben, können Sie auch leicht feststellen, wo diese überschritten werden.

Der Hub Microsoft Cost Management + Billing bietet nützliche Funktionen. Nachdem Sie im Azure-Portal Cost Management + Billing geöffnet haben, wählen Sie im linken Navigationsbereich Cost Management aus. Wählen Sie dann den Bereich oder die Gruppe der zu untersuchenden Ressourcen aus, z. B. ein Azure-Abonnement oder eine Ressourcengruppe.

Auf dem Bildschirm Kostenanalyse werden detaillierte Ansichten Ihrer Azure-Nutzung und -Kosten gezeigt, auf die Sie eine Vielzahl von Steuerelementen und Filtern anwenden können.

So können Sie z. B. Diagramme Ihrer täglichen Kosten für einen bestimmten Zeitrahmen einsehen:

1. Wählen Sie im Feld Ansicht den Dropdownpfeil und dann Akkumulierte Kosten oder Tägliche Kosten aus.

2. Wählen Sie den Dropdownpfeil im Datumsfeld und dann einen Datumsbereich aus.

3. Wählen Sie den Dropdownpfeil neben Granularität und dann Täglich aus.

   Die in der folgenden Abbildung gezeigten Kosten dienen nur als Beispiel. Sie sollen keine tatsächlichen Kosten widerspiegeln.

   

Sie können auch weitere Steuerelemente anwenden. Um beispielsweise nur die mit Microsoft Sentinel verbundenen Kosten anzuzeigen, wählen Sie Filter hinzufügen, anschließend Dienstname und dann die Dienstnamen Sentinel, Log Analytics und Azure Monitor aus.

Datenerfassungsvolumen von Microsoft Sentinel werden in einigen Nutzungsdiagrammen im Portal unter Einblicke in die Sicherheit angezeigt.

Die klassischen Tarife von Microsoft Sentinel enthalten keine Log Analytics-Gebühren, sodass diese Gebühren möglicherweise separat in Rechnung gestellt werden. Die vereinfachten Preise von Microsoft Sentinel kombinieren die beiden Kosten in einer Reihe von Tarifen. Weitere Informationen zu den vereinfachten Tarifen von Microsoft Sentinel finden Sie unter Vereinfachte Tarife.

Weitere Informationen zu reduzierten Kosten finden Sie unter Erstellen von Budgets und Reduzieren von Kosten in Microsoft Sentinel.

Nutzen der Azure-Vorauszahlung mit Microsoft Sentinel

Sie können Microsoft Sentinel-Gebühren mit Azure-Vorauszahlungsguthaben begleichen. Sie können Azure-Vorauszahlungsguthaben jedoch nicht dazu nutzen, um Rechnungen an Nicht-Microsoft-Organisationen für deren Produkte und Dienste oder für Produkte aus Azure Marketplace zu begleichen.

Ausführen von Abfragen zum Verstehen Ihrer Datenerfassung

Microsoft Sentinel nutzt eine umfangreiche Abfragesprache zum Analysieren, Interagieren mit und Ableiten von Erkenntnissen aus großen Mengen operativer Daten in Sekundenschnelle. Es folgen einige Kusto-Abfragen, mit deren Hilfe Sie das Datenerfassungsvolumen verstehen können.

Führen Sie die folgende Abfrage aus, um das Datenerfassungsvolumen nach Lösung anzuzeigen:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Führen Sie die folgende Abfrage aus, um das Datenerfassungsvolumen nach Datentyp anzuzeigen:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Führen Sie die folgende Abfrage aus, um das Datenerfassungsvolumen nach Lösung und Datentyp anzuzeigen:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Bereitstellen einer Arbeitsmappe zum Visualisieren der Datenerfassung

Die Arbeitsmappe „Bericht zur Arbeitsbereichsnutzung“ stellt Datennutzungs-, Kosten- und Nutzungsstatistiken für Ihren Arbeitsbereich bereit. Die Arbeitsmappe gibt den Status der Datenerfassung im Arbeitsbereich und die Menge der kostenlosen und abrechenbaren Daten an. Sie können mithilfe der Arbeitsmappenlogik Datenerfassung und Kosten überwachen sowie benutzerdefinierte Ansichten und regelbasierte Warnungen erstellen.

Diese Arbeitsmappe bietet auch detaillierte Erfassungsdetails. In der Arbeitsmappe sind die Daten in Ihrem Arbeitsbereich nach Datentabellen aufgeschlüsselt, und es werden Volumen pro Tabelle und Eintrag angegeben, damit Sie Ihre Erfassungsmuster besser verstehen können.

So aktivieren Sie die Arbeitsmappe „Bericht zur Arbeitsbereichsnutzung“

1. Wählen Sie in Microsoft Sentinel im linken Navigationsbereich Bedrohungsmanagement>Arbeitsmappen aus.
2. Geben Sie in der Suchleiste Arbeitsbereichsnutzung ein, und wählen Sie dann Bericht zur Arbeitsbereichsnutzung aus.
3. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe unverändert zu verwenden, oder wählen Sie Speichern aus, um eine bearbeitbare Kopie der Arbeitsmappe zu erstellen. Wenn Sie eine Kopie speichern, wählen Sie Gespeicherte Arbeitsmappe anzeigen aus.
4. Wählen Sie in der Arbeitsmappe das Abonnement und den Arbeitsbereich aus, den Sie anzeigen möchten, und legen Sie dann TimeRange auf den Zeitrahmen fest, den Sie einsehen möchten. Sie können den Umschalter Hilfe anzeigen auf Ja festlegen, um in der Arbeitsmappe Erklärungen anzuzeigen.

Exportieren von Kostendaten

Sie können Ihre Kostendaten auch in ein Speicherkonto exportieren. Dies ist hilfreich, wenn Sie oder andere Personen weitere Datenanalysen im Hinblick Kosten ausführen müssen. Beispielsweise kann ein Finanzteam die Daten mithilfe von Excel oder Power BI analysieren. Sie können Ihre Kosten täglich, wöchentlich oder monatlich exportieren und einen benutzerdefinierten Datumsbereich festlegen. Exportieren von Kostendaten ist die empfohlene Abrufmethode für Kostendatasets.

Erstellen von Budgets

Sie können Budgets erstellen, um Kosten zu verwalten, und Warnungen erstellen, die die Beteiligten automatisch über Ausgabenanomalien und Überschreitungsrisiken informieren. Warnungen basieren auf Ausgaben im Vergleich zum Budget und zu Kostenschwellenwerten. Budgets und Warnungen werden für Azure-Abonnements und -Ressourcengruppen erstellt und sind daher im Rahmen einer umfassenden Strategie zur Kostenüberwachung hilfreich.

Sie können Budgets mit Filtern für bestimmte Ressourcen oder Dienste in Azure erstellen, wenn Sie mehr Detailgenauigkeit bei Ihrer Überwachung wünschen. Mit Filtern stellen Sie sicher, dass Sie nicht versehentlich neue Ressourcen erstellen, die Ihnen zusätzliche Kosten bereiten. Weitere Informationen zu den beim Erstellen eines Budgets verfügbaren Filteroptionen finden Sie unter Gruppen- und Filteroptionen.

Verwenden eines Playbooks für Kostenverwaltungswarnungen

Sie können ein Playbook zur Kostenverwaltung erstellen, um Ihr Microsoft Sentinel-Budget zu steuern. Das Playbook sendet Ihnen eine Warnung, wenn der Microsoft Sentinel-Arbeitsbereich innerhalb eines bestimmten Zeitraums ein von Ihnen definiertes Budget überschreitet.

Die GitHub-Community für Microsoft Sentinel stellt das Playbook Send-IngestionCostAlert zur Kostenverwaltung auf GitHub zur Verfügung. Dieses Playbook wird durch einen Wiederholungstrigger aktiviert und bietet ein hohes Maß an Flexibilität. Sie können die Ausführungshäufigkeit, das Erfassungsvolumen und die auszulösende Meldung basierend auf Ihren Anforderungen steuern.

Festlegen einer Obergrenze für das Datenvolumen in Log Analytics

In Log Analytics können Sie eine tägliche Volumenobergrenze aktivieren, die die tägliche Erfassung für Ihren Arbeitsbereich einschränkt. Die tägliche Obergrenze kann Ihnen helfen, unerwartete Anstiege des Datenvolumens zu bewältigen, ihr Budget einzuhalten und ungeplante Gebühren zu begrenzen.

Um eine tägliche Volumenobergrenze festzulegen, wählen Sie im linken Navigationsbereich Ihres Log Analytics-Arbeitsbereichs Nutzungs- und geschätzte Kosten und dann Tägliche Obergrenze aus. Wählen Sie Ein aus, geben Sie eine tägliche Volumenobergrenze ein, und wählen Sie dann OK aus.

Auf dem Bildschirm Nutzung und geschätzte Kosten sind auch der Trend des erfassten Datenvolumens in den letzten 31 Tagen und das gesamte gespeicherte Datenvolumen zu sehen.

Weitere Informationen finden Sie unter Tägliche Obergrenze im Log Analytics-Arbeitsbereich festlegen.

Nächste Schritte

• Reduzieren der Kosten für Microsoft Sentinel
• Erfahren Sie, wie Sie Ihre Cloudinvestitionen mit Microsoft Cost Management optimieren.
• Erfahren Sie mehr über die Verwaltung von Kosten mit der Kostenanalyse.
• Erfahren Sie, wie Sie unerwartete Kosten vermeiden.
• Nehmen Sie an dem angeleiteten Kurs Cost Management teil.
• Weitere Tipps zum Reduzieren des Log Analytics-Datenvolumens finden Sie unter Bewährte Azure Monitor-Methoden: Kostenverwaltung.