Réduction des coûts pour Microsoft Sentinel
Les coûts pour Microsoft Sentinel ne représentent qu’une partie des coûts mensuels sur votre facture Azure. Cet article explique comment réduire les coûts pour Microsoft Sentinel. Tous les services et ressources Azure utilisés par votre abonnement Azure, dont les services partenaires, vous sont toutefois facturés.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Définir ou modifier le niveau tarifaire
Pour optimiser les économies les plus importantes, surveillez votre volume d’ingestion pour vous assurer que vous disposez du niveau d’engagement qui correspond le mieux à vos modèles de volume d’ingestion. Envisagez d’augmenter ou de diminuer votre niveau d’engagement pour vous aligner sur l’évolution des volumes de données.
Vous pouvez augmenter votre niveau d’engagement à tout moment, ce qui redémarre la période d’engagement de 31 jours. Toutefois, pour revenir à Paiement à l’utilisation ou à un niveau d’engagement inférieur, vous devez attendre la fin de la période d’engagement de 31 jours. La facturation des niveaux d’engagement se fait sur une base quotidienne.
Pour voir votre niveau tarifaire Microsoft Sentinel actuel, sélectionnez Paramètres dans le volet de navigation gauche de Microsoft Sentinel, puis sélectionnez l’onglet Tarification. Votre niveau tarifaire actuel est marqué Niveau actuel.
Pour modifier votre engagement de niveau tarifaire, sélectionnez l’un des autres niveaux sur la page de tarification, puis sélectionnez Appliquer. Vous devez disposer du rôle de Contributeur ou Propriétaire pour l’espace de travail Microsoft Sentinel afin de modifier le niveau tarifaire.
Pour en savoir plus sur la façon de surveiller vos coûts, consultez Gérer et surveiller les coûts pour Microsoft Sentinel.
Pour les espaces de travail qui utilisent toujours des niveaux tarifaires classiques, les niveaux tarifaires de Microsoft Sentinel n’incluent pas de frais Log Analytics. Pour plus d’informations, consultez Niveaux tarifaires simplifiés.
Séparer les données non relatives à la sécurité dans un espace de travail différent
Microsoft Sentinel analyse toutes les données ingérées dans les espaces de travail Log Analytics avec Microsoft Sentinel. Il est préférable de disposer d’un espace de travail distinct pour les données d’opérations non liées à la sécurité, afin de s’assurer qu’elles n’entraînent pas de coûts de Microsoft Sentinel.
Lors de la chasse ou de l’investigation des menaces dans Microsoft Sentinel, vous pouvez avoir besoin d’accéder aux données opérationnelles stockées dans ces espaces de travail Azure Log Analytics autonomes. Vous pouvez accéder à ces données en utilisant des requêtes interespaces de travail dans l’expérience d’exploration des journaux et les classeurs. Toutefois, vous ne pouvez pas utiliser les requêtes de chasse ni les règles analytiques portant sur plusieurs espaces de travail, sauf si Microsoft Sentinel est activé sur tous les espaces de travail.
Activer l’ingestion des données de base des journaux pour les données qui ont une valeur de sécurité basse (préversion)
Contrairement aux journaux d’analyse, les journaux de base sont généralement détaillés. Ils contiennent une combinaison de données de valeur de sécurité élevée et de faible volume, qui ne sont pas fréquemment utilisées ou auxquelles on accède à la demande pour des requêtes, des investigations et des recherches ad hoc. Activez l’ingestion des données de journal de base à un coût considérablement réduit pour les tables de données éligibles. Pour plus d’informations, consultez Tarification Microsoft Sentinel.
Optimiser les coûts de Log Analytics à l’aide de clusters dédiés
Si vous ingérez au moins 500 Go/jour dans votre espace de travail Microsoft Sentinel ou dans des espaces de travail de la même région, envisagez de passer à un cluster dédié Log Analytics pour réduire les coûts. Un niveau d’engagement pour cluster dédié Log Analytics agrège les volumes de données des espaces de travail qui ingèrent collectivement un total de 500 Go/jour ou plus. Pour plus d’informations, consultez le niveau tarifaire simplifié pour le clusterdédié.
Vous pouvez ajouter plusieurs espaces de travail Microsoft Sentinel à un cluster dédié Log Analytics. L’utilisation d’un cluster dédié Log Analytics pour Microsoft Sentinel présente deux avantages :
Les requêtes interespaces de travail s’exécutent plus rapidement si tous les espaces de travail impliqués dans la requête se trouvent dans le cluster dédié. Il est toujours préférable d’avoir le moins d’espaces de travail possible dans votre environnement, et un cluster dédié conserve toujours la limite de 100 espaces de travail à inclure dans une seule requête interespace de travail.
Tous les espaces de travail du cluster dédié peuvent partager le niveau d’engagement Log Analytics défini sur le cluster. Le fait de ne pas avoir à s’engager sur des niveaux d’engagement Log Analytics distincts pour chaque espace de travail peut permettre de réaliser des économies et des gains d’efficacité. En activant un cluster dédié, vous vous engagez à un niveau d’engagement Log Analytics minimum de 500 Go d’ingestion par jour.
Voici d’autres considérations à prendre en compte pour passer à un cluster dédié afin d’optimiser les coûts :
- Le nombre maximum de clusters par région et par abonnement est de deux.
- Tous les espaces de travail liés à un cluster doivent se trouver dans la même région.
- Le nombre maximal d’espaces de travail liés à un cluster est de 1000.
- Vous pouvez dissocier un espace de travail lié à votre cluster. Le nombre d’opérations de liaison sur un espace de travail particulier est limité à 2 par période de 30 jours.
- Vous ne pouvez pas déplacer un espace de travail existant vers un cluster avec clé gérée par le client (CMK). Vous devez créer l’espace de travail dans le cluster.
- Le déplacement d’un cluster vers un autre groupe de ressources ou un autre abonnement n’est pas pris en charge actuellement.
- Un lien d’espace de travail vers un cluster échoue si l’espace de travail est lié à un autre cluster.
Pour plus d’informations sur les clusters dédiés, consultez Clusters dédiés Log Analytics.
Réduire les coûts de conservation des données à long terme grâce à Azure Data Explorer ou aux journaux archivés (préversion)
La conservation des données Microsoft Sentinel est gratuite pendant les 90 premiers jours. Pour ajuster la période de conservation des données dans Log Analytics, sélectionnez Utilisation et estimation des coûts dans le volet de navigation gauche, puis sélectionnez Conservation des données et réglez le curseur.
Les données de sécurité de Microsoft Sentinel peuvent perdre une partie de leur valeur après quelques mois. Les utilisateurs du centre des opérations de sécurité (SOC) n’ont peut-être pas besoin d’accéder aux anciennes données aussi fréquemment qu’aux nouvelles, mais ils peuvent tout de même avoir besoin d’accéder aux données à des fins d’investigation ou d’audit sporadiques.
Pour vous aider à réduire les coûts de conservation des données Microsoft Sentinel, Azure Monitor propose désormais des journaux archivés. Les journaux archivés stockent les données de journal sur de longues périodes, jusqu’à sept ans, à un coût réduit, avec des limitations quant à leur utilisation. Les journaux archivés sont en préversion publique. Pour plus d’informations, consultez Configuration des stratégies de conservation des données et d’archivage dans les journaux Azure Monitor.
Vous pouvez également utiliser Azure Data Explorer pour la conservation des données à long terme à moindre coût. Azure Data Explorer offre un juste équilibre entre coût et convivialité pour les données vieillies qui n’ont plus besoin des renseignements sur la sécurité de Microsoft Sentinel.
Grâce à Azure Data Explorer, vous pouvez stocker des données à moindre coût, tout en continuant à les explorer à l’aide des mêmes requêtes KQL (Kusto Query Language) que dans Microsoft Sentinel. Vous pouvez également utiliser la fonctionnalité de proxy d’Azure Data Explorer pour effectuer des requêtes multiplateformes. Ces requêtes agrègent et mettent en corrélation les données réparties dans Azure Data Explorer, Application Insights, Microsoft Sentinel et Log Analytics.
Pour plus d’informations, consultez Intégrer Azure Data Explorer pour la conservation des journaux à long terme.
Utiliser les règles de collecte de données pour vos événements de sécurité Windows
Le connecteur d’événements de sécurité Windows vous permet de diffuser des événements de sécurité à partir de n’importe quel ordinateur exécutant Windows Server connecté à votre espace de travail Microsoft Sentinel, dont les serveurs physiques, virtuels ou locaux, ou dans n’importe quel cloud. Ce connecteur prend en charge l’agent Azure Monitor, qui utilise des règles de collecte de données pour définir les données à collecter à partir de chaque agent.
Les règles de collecte de données vous permettent de gérer les paramètres de collecte à grande échelle, tout en continuant d’autoriser des configurations uniques, délimitées pour les sous-ensembles de machines. Pour plus d’informations, consultez Configurer la collecte de données pour l’agent Azure Monitor.
En plus des ensembles d’événements prédéfinis que vous pouvez sélectionner pour l’ingestion, tels que Tous les événements, Minimal ou Courant, les règles de collecte de données vous permettent de créer des filtres personnalisés et de sélectionner des événements spécifiques à ingérer. L’agent Azure Monitor utilise ces règles pour filtrer les données à la source, puis ingérer uniquement les événements que vous avez sélectionnés tout en laissant les autres données de côté. La sélection d’événements spécifiques à ingérer peut vous aider à optimiser vos coûts et à faire plus d’économies.
Étapes suivantes
- Découvrez comment optimiser votre investissement cloud avec Microsoft Cost Management.
- Apprenez-en davantage sur la gestion des coûts avec l’analyse du coût.
- Découvrez comment éviter des coûts imprévus.
- Suivez le cours d’apprentissage guidé Cost Management.
- Pour obtenir des conseils supplémentaires sur la réduction du volume de données Log Analytics, consultez Meilleures pratiques Azure Monitor : Gestion des coûts.