Gerencie e monitore os custos do Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Depois de começar a usar os recursos do Microsoft Sentinel, use os recursos de Gerenciamento de Custos para definir orçamentos e monitorar custos. Você também pode revisar os custos previstos e identificar tendências de gastos para identificar áreas em que você pode querer agir.

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura do Azure. Embora este artigo explique como gerenciar e monitorar custos para o Microsoft Sentinel, você é cobrado por todos os serviços e recursos do Azure que sua assinatura do Azure usa, incluindo serviços de parceiros.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para exibir dados de custo e executar análise de custos no Gerenciamento de Custos, você deve ter um tipo de conta do Azure com suporte, com pelo menos acesso de leitura.

Embora a análise de custos no Gerenciamento de Custos ofereça suporte à maioria dos tipos de conta do Azure, nem todos são suportados. Para ver a lista completa dos tipos de contas suportados, veja Compreender os dados do Cost Management.

Para obter informações sobre como atribuir acesso a dados do Microsoft Cost Management, consulte Atribuir acesso a dados.

Visualizar custos usando a análise de custos

Ao usar os recursos do Azure com o Microsoft Sentinel, você incorre em custos. Os custos unitários de uso de recursos do Azure variam por intervalos de tempo, como segundos, minutos, horas e dias, ou por uso de unidade, como bytes e megabytes. Assim que o Microsoft Sentinel começa a analisar dados faturáveis, incorre em custos. Exiba esses custos usando a análise de custos no portal do Azure. Para obter mais informações, consulte Começar a usar a análise de custos.

Ao usar a análise de custos, você visualiza os custos do Microsoft Sentinel em gráficos e tabelas para diferentes intervalos de tempo. Alguns exemplos são por dia, mês atual e anterior, e ano. Você também visualiza os custos em relação aos orçamentos e custos previstos. Mudar para visualizações mais longas ao longo do tempo pode ajudá-lo a identificar tendências de gastos. E você vê onde o excesso de gastos pode ter ocorrido. Se você criou orçamentos, também pode ver facilmente onde eles são excedidos.

O hub Microsoft Cost Management + Billing fornece funcionalidades úteis. Depois de abrir Gestão de Custos + Faturação no portal do Azure, selecione Gestão de Custos no painel de navegação esquerdo e, em seguida, selecione o âmbito ou conjunto de recursos a investigar, como uma subscrição do Azure ou um grupo de recursos.

A tela Análise de Custos mostra exibições detalhadas do uso e dos custos do Azure, com a opção de aplicar vários controles e filtros.

Por exemplo, para ver gráficos dos seus custos diários para um determinado período de tempo:

  1. Selecione o cursor suspenso no campo Exibir e selecione Custos acumulados ou Custos diários.

  2. Selecione o cursor suspenso no campo de data e selecione um intervalo de datas.

  3. Selecione o cursor suspenso ao lado de Granularidade e selecione Diariamente.

    Os custos mostrados na imagem a seguir são, por exemplo, apenas para fins de finalidade. Não se destinam a refletir os custos reais.

    Captura de tela de uma tela de gerenciamento de custos + análise de custos de faturamento.

Você também pode aplicar outros controles. Por exemplo, para exibir apenas os custos associados ao Microsoft Sentinel, selecione Adicionar filtro, selecione Nome do serviço e selecione os nomes de serviço Sentinel, Log Analytics e Azure Monitor.

Os volumes de ingestão de dados do Microsoft Sentinel aparecem em Informações de Segurança em alguns Gráficos de Uso do portal.

Os níveis de preços clássicos do Microsoft Sentinel não incluem cobranças do Log Analytics, portanto, você pode ver essas cobranças cobradas separadamente. O preço simplificado do Microsoft Sentinel combina os dois custos em um conjunto de camadas. Para saber mais sobre os níveis de preços simplificados do Microsoft Sentinel, consulte Níveis de preços simplificados.

Para obter mais informações sobre como reduzir custos, consulte Criar orçamentos e Reduzir custos no Microsoft Sentinel.

Usando o Pré-pagamento do Azure com o Microsoft Sentinel

Você pode pagar as cobranças do Microsoft Sentinel com seu crédito de pré-pagamento do Azure. No entanto, não pode utilizar o crédito de Pré-pagamento do Azure para pagar faturas a organizações que não sejam da Microsoft pelos respetivos produtos e serviços ou por produtos do Azure Marketplace.

Execute consultas para entender sua ingestão de dados

O Microsoft Sentinel usa uma linguagem de consulta extensa para analisar, interagir e obter insights de grandes volumes de dados operacionais em segundos. Aqui estão algumas consultas Kusto que você pode usar para entender seu volume de ingestão de dados.

Execute a seguinte consulta para mostrar o volume de ingestão de dados por solução:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados por tipo de dados:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados por solução e tipo de dados:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Implantar uma pasta de trabalho para visualizar a ingestão de dados

A pasta de trabalho Relatório de Uso do Espaço de Trabalho fornece as estatísticas de consumo, custo e uso de dados do seu espaço de trabalho. A pasta de trabalho fornece o status de ingestão de dados do espaço de trabalho e a quantidade de dados gratuitos e faturáveis. Você pode usar a lógica da pasta de trabalho para monitorar a ingestão e os custos de dados e para criar exibições personalizadas e alertas baseados em regras.

Esta pasta de trabalho também fornece detalhes granulares de ingestão. A pasta de trabalho divide os dados em seu espaço de trabalho por tabela de dados e fornece volumes por tabela e entrada para ajudá-lo a entender melhor seus padrões de ingestão.

Para habilitar a pasta de trabalho Relatório de Uso do Espaço de Trabalho:

  1. Na navegação à esquerda do Microsoft Sentinel, selecione Pastas de trabalho de gerenciamento de>ameaças.
  2. Insira o uso do espaço de trabalho na barra de pesquisa e selecione Relatório de uso do espaço de trabalho.
  3. Selecione Ver modelo para utilizar o livro tal como está ou selecione Guardar para criar uma cópia editável do livro. Se guardar uma cópia, selecione Ver livro guardado.
  4. No livro, selecione a Subscrição e a Área de Trabalho que pretende ver e, em seguida, defina o Intervalo de Tempo para o período de tempo que pretende ver. Você pode definir a alternância Mostrar ajuda como Sim para exibir explicações in-loco na pasta de trabalho.

Exportar dados de custo

Também pode exportar os dados de custos para uma conta de armazenamento. A exportação de dados de custos é útil quando você precisa ou outras pessoas para fazer mais análise de dados para custos. Por exemplo, uma equipe financeira pode analisar os dados usando o Excel ou o Power BI. Você pode exportar seus custos em uma programação diária, semanal ou mensal e definir um intervalo de datas personalizado. A exportação de dados de custo é a maneira recomendada de recuperar conjuntos de dados de custo.

Criar orçamentos

Pode criar orçamentos para gerir custos e criar alertas que notifiquem automaticamente as partes interessadas das anomalias nos gastos e do risco em fazer gastos excessivos. Os alertas são baseados nos gastos em comparação com os orçamentos e os limites de custos. Os orçamentos e alertas são criados para subscrições do Azure e grupos de recursos, pelo que são úteis como parte de uma estratégia geral de monitorização de custos.

Você pode criar orçamentos com filtros para recursos ou serviços específicos no Azure se quiser mais granularidade em seu monitoramento. Os filtros ajudam a garantir que você não crie acidentalmente novos recursos que custam mais dinheiro. Para obter mais informações sobre as opções de filtro disponíveis quando você cria um orçamento, consulte Opções de grupo e filtro.

Use um manual para alertas de gerenciamento de custos

Para ajudá-lo a controlar seu orçamento do Microsoft Sentinel, você pode criar um manual de gerenciamento de custos. O manual envia um alerta se o espaço de trabalho do Microsoft Sentinel exceder um orçamento, definido por você, dentro de um determinado período de tempo.

A comunidade Microsoft Sentinel GitHub fornece o Send-IngestionCostAlert manual de gerenciamento de custos no GitHub. Este manual é ativado por um gatilho de recorrência e oferece um alto nível de flexibilidade. Você pode controlar a frequência de execução, o volume de ingestão e a mensagem a ser acionada, com base em suas necessidades.

Definir um limite de volume de dados no Log Analytics

No Log Analytics, você pode habilitar um limite de volume diário que limita a ingestão diária para seu espaço de trabalho. O limite diário pode ajudá-lo a gerenciar aumentos inesperados no volume de dados, permanecer dentro do seu limite e limitar cobranças não planejadas.

Para definir um limite de volume diário, selecione Utilização e custos estimados na navegação esquerda da área de trabalho do Log Analytics e, em seguida, selecione Limite diário. Selecione Ativado, insira um valor de limite de volume diário e selecione OK.

Captura de tela mostrando a tela Uso e custos estimados e a janela Limite diário.

A tela Uso e custos estimados também mostra a tendência do volume de dados ingeridos nos últimos 31 dias e o volume total de dados retidos.

Para obter mais informações, consulte Definir limite diário no espaço de trabalho do Log Analytics.

Próximos passos