A Microsoft Sentinel költségeinek csökkentése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel költségei csak az Azure-számla havi költségeinek egy részét képezik. Bár ez a cikk bemutatja, hogyan csökkenthetők a Microsoft Sentinel költségei, az Azure-előfizetés által használt összes Azure-szolgáltatásért és erőforrásért, beleértve a partnerszolgáltatásokat is.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Tarifacsomag beállítása vagy módosítása

A legnagyobb megtakarítás érdekében monitorozza a betöltési kötetet, hogy meggyőződjön arról, hogy rendelkezik a betöltési kötet mintáihoz leginkább illeszkedő kötelezettségvállalási szinttel. Fontolja meg a kötelezettségvállalási szint növelését vagy csökkentését, hogy igazodjon a változó adatmennyiségekhez.

Bármikor növelheti a kötelezettségvállalási szintet, amely újraindítja a 31 napos kötelezettségvállalási időszakot. Ha azonban vissza szeretne lépni a használatalapú fizetésre vagy egy alacsonyabb kötelezettségvállalási szintre, meg kell várnia, amíg a 31 napos kötelezettségvállalási időszak befejeződik. A kötelezettségvállalási szintek számlázása naponta történik.

Az aktuális Microsoft Sentinel tarifacsomag megtekintéséhez válassza a Gépház a Microsoft Sentinel bal oldali navigációs sávjában, majd válassza a Díjszabás lapot. Az aktuális tarifacsomag az Aktuális szint megjelöléssel van megjelölve.

A tarifacsomag-kötelezettségvállalás módosításához válassza ki az egyik másik szintet a díjszabási oldalon, majd válassza az Alkalmaz lehetőséget. A tarifacsomag módosításához a Microsoft Sentinel-munkaterület közreműködőjének vagy tulajdonosának kell lennie.

A költségek monitorozásáról további információt a Microsoft Sentinel költségeinek kezelése és monitorozása című témakörben talál.

A továbbra is klasszikus tarifacsomagokat használó munkaterületek esetében a Microsoft Sentinel tarifacsomagjai nem tartalmazzák a Log Analytics-díjakat. További információ: Egyszerűsített tarifacsomagok.

Nem biztonsági adatok elkülönítése egy másik munkaterületen

A Microsoft Sentinel elemzi a Microsoft Sentinel-kompatibilis Log Analytics-munkaterületekre betöltött összes adatot. A legjobb, ha külön munkaterülettel rendelkezik a nem biztonsági üzemeltetési adatokhoz, hogy az ne járjon a Microsoft Sentinel költségeivel.

Ha a Microsoft Sentinelben fenyegetéseket keres vagy vizsgál, előfordulhat, hogy hozzá kell férnie a különálló Azure Log Analytics-munkaterületeken tárolt operatív adatokhoz. Ezeket az adatokat munkaterületek közötti lekérdezéssel érheti el a naplófeltárási felületen és a munkafüzetekben. A munkaterületek közötti elemzési szabályok és a keresési lekérdezések azonban csak akkor használhatók, ha a Microsoft Sentinel engedélyezve van az összes munkaterületen.

A naplók alapszintű adatbetöltésének bekapcsolása nagy mennyiségű alacsony biztonsági értékkel (előzetes verzió)

Az elemzési naplókkal ellentétben az alapszintű naplók általában részletesek. Ezek nagy mennyiségű és alacsony biztonsági értékű adatokat tartalmaznak, amelyeket nem gyakran használnak és nem érnek el igény szerint az alkalmi lekérdezésekhez, vizsgálatokhoz és kereséshez. Az alapszintű naplóadatok betöltésének engedélyezése jelentősen csökkentett költséggel a jogosult adattáblák esetében. További információkért lásd a Microsoft Sentinel díjszabását.

Log Analytics-költségek optimalizálása dedikált fürtökkel

Ha legalább 500 GB-ot betölt a Microsoft Sentinel-munkaterületre vagy az ugyanabban a régióban található munkaterületekre, érdemes lehet áthelyezni egy dedikált Log Analytics-fürtre a költségek csökkentése érdekében. A dedikált Log Analytics-fürt kötelezettségvállalási szintje összesíti az adatmennyiséget olyan munkaterületeken, amelyek együttesen összesen 500 GB-ot vagy annál többet érnek el. További információt a dedikált fürtök egyszerűsített tarifacsomagja című témakörben talál.

Több Microsoft Sentinel-munkaterületet is hozzáadhat egy dedikált Log Analytics-fürthöz. A Dedikált Log Analytics-fürtök Microsoft Sentinelhez való használata számos előnnyel jár:

• A munkaterületek közötti lekérdezések gyorsabban futnak, ha a lekérdezésben részt vevő összes munkaterület a dedikált fürtben található. A legjobb, ha a lehető legkevesebb munkaterületet használja a környezetben, és egy dedikált fürt továbbra is megtartja a 100 munkaterületre vonatkozó korlátot egyetlen munkaterületközi lekérdezésbe való felvételhez.

• A dedikált fürt összes munkaterülete megoszthatja a fürtön beállított Log Analytics-kötelezettségvállalási szintet. Ha nem kell külön Log Analytics-kötelezettségvállalási szinteket elköteleznie az egyes munkaterületekhez, költségmegtakarítást és hatékonyságot tehet lehetővé. Egy dedikált fürt engedélyezésével napi 500 GB-os minimális Log Analytics-kötelezettségvállalási szintre kötelezheti el magát.

Íme néhány további szempont a dedikált fürtre való áttéréshez a költségoptimalizálás érdekében:

• A fürtök maximális száma régiónként és előfizetésenként két.
• A fürthöz társított összes munkaterületnek ugyanabban a régióban kell lennie.
• A fürthöz társított munkaterületek maximális száma 1000.
• A csatolt munkaterületeket leválaszthatja a fürtről. Egy adott munkaterületen a kapcsolati műveletek száma 30 nap alatt kettőre korlátozódik.
• Meglévő munkaterület nem helyezhető át ügyfél által felügyelt kulcsú (CMK) fürtre. Létre kell hoznia a munkaterületet a fürtben.
• A fürtök áthelyezése egy másik erőforráscsoportba vagy előfizetésbe jelenleg nem támogatott.
• A fürtre mutató munkaterület-hivatkozás meghiúsul, ha a munkaterület egy másik fürthöz van csatolva.

A dedikált fürtökkel kapcsolatos további információkért lásd a dedikált Log Analytics-fürtöket.

Hosszú távú adatmegőrzési költségek csökkentése az Azure Data Explorerrel vagy archivált naplókkal (előzetes verzió)

A Microsoft Sentinel adatmegőrzése az első 90 napban ingyenes. A Log Analytics adatmegőrzési időszakának módosításához válassza a bal oldali navigációs sávOn a Használat és becsült költségek lehetőséget, majd válassza az Adatmegőrzés lehetőséget, majd állítsa be a csúszkát.

A Microsoft Sentinel biztonsági adatai néhány hónap elteltével elveszíthetik értékük egy részét. Előfordulhat, hogy a Biztonsági műveleti központ (SOC) felhasználóinak nem kell olyan gyakran hozzáférnie a régebbi adatokhoz, mint az újabb adatok, de előfordulhat, hogy szórványos vizsgálat vagy naplózás céljából hozzá kell férnie az adatokhoz.

A Microsoft Sentinel adatmegőrzési költségeinek csökkentése érdekében az Azure Monitor mostantól archivált naplókat kínál. Az archivált naplók hosszú ideig, legfeljebb hét évig tárolják a naplóadatokat csökkentett költség mellett, a felhasználás korlátozásával. Az archivált naplók nyilvános előzetes verzióban érhetők el. További információ: Adatmegőrzési és archiválási szabályzatok konfigurálása az Azure Monitor-naplókban.

Alternatív megoldásként az Azure Data Explorert is használhatja a hosszú távú adatmegőrzéshez alacsonyabb költséggel. Az Azure Data Explorer biztosítja a költségek és a használhatóság megfelelő egyensúlyát az olyan elavult adatok esetében, amelyekre már nincs szükség a Microsoft Sentinel biztonsági intelligenciájára.

Az Azure Data Explorerrel alacsonyabb áron tárolhatja az adatokat, de továbbra is ugyanazokat a Kusto lekérdezésnyelv (KQL) lekérdezéseket használhatja, mint a Microsoft Sentinelben. Az Azure Data Explorer proxyfunkciójával platformfüggetlen lekérdezéseket is végezhet. Ezek a lekérdezések összesítik és korrelálják az Azure Data Explorer, az Application Elemzések, a Microsoft Sentinel és a Log Analytics adatait.

További információ: Az Azure Data Explorer integrálása a hosszú távú naplómegőrzés érdekében.

Adatgyűjtési szabályok használata a Windows biztonság-eseményekhez

A Windows biztonság Események összekötővel biztonsági eseményeket streamelhet a Microsoft Sentinel-munkaterülethez csatlakoztatott Windows Servert futtató számítógépekről, beleértve a fizikai, virtuális vagy helyszíni kiszolgálókat vagy bármely felhőt. Ez az összekötő támogatja az Azure Monitor-ügynököt, amely adatgyűjtési szabályok használatával határozza meg az egyes ügynököktől begyűjtendő adatokat.

Az adatgyűjtési szabályok lehetővé teszik a gyűjteménybeállítások nagy méretekben történő kezelését, ugyanakkor lehetővé teszik a gépek részhalmazainak egyedi, hatókörön belüli konfigurációit. További információért lásd: Adatgyűjtés konfigurálása az Azure Monitor-ügynökhöz.

Az előre definiált eseménykészleteken kívül, amelyeket kiválaszthat a betöltéshez, például a Minden esemény, a Minimális vagy a Közös, az adatgyűjtési szabályok lehetővé teszik egyéni szűrők készítését és adott események betöltését. Az Azure Monitor-ügynök ezeket a szabályokat használva szűri az adatokat a forrásnál, majd csak a kiválasztott eseményeket veszi be, miközben minden mást hátrahagy. A betöltendő események kiválasztása segíthet a költségek optimalizálásában és további megtakarításban.

Következő lépések

• Megtudhatja , hogyan optimalizálhatja a felhőberuházásokat a Microsoft Cost Management használatával.
• További információ a költségek költségelemzéssel való kezeléséről.
• Megtudhatja, hogyan előzheti meg a váratlan költségeket.
• Vegyen részt a Cost Management interaktív képzési kurzusán.
• A Log Analytics-adatmennyiség csökkentésére vonatkozó további tippekért tekintse meg az Azure Monitor ajánlott eljárásait – Költségkezelés.