Microsoft Sentinel maliyetlerini azaltma

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel maliyetleri, Azure faturanızdaki aylık maliyetlerin yalnızca bir kısmıdır. Bu makalede Microsoft Sentinel maliyetlerinin nasıl azaltılmaya başlandığı açıklansa da, İş ortağı hizmetleri de dahil olmak üzere Azure aboneliğinizin kullandığı tüm Azure hizmetleri ve kaynakları için faturalandırılırsınız.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Fiyatlandırma katmanını ayarlama veya değiştirme

En yüksek tasarruf için en iyi duruma getirmek için, alım hacminizi izleyerek alım hacmi desenlerinizle en yakın uyumu sağlayan Taahhüt Katmanına sahip olduğunuzdan emin olun. Değişen veri hacimleriyle uyumlu olması için Taahhüt Katmanınızı artırmayı veya azaltmayı göz önünde bulundurun.

31 günlük taahhüt süresini yeniden başlatan Taahhüt Katmanınızı istediğiniz zaman artırabilirsiniz. Ancak Kullandıkça Öde veya daha düşük bir Taahhüt Katmanına geri dönmek için 31 günlük taahhüt süresi bitene kadar beklemeniz gerekir. Taahhüt Katmanları için faturalama günlük olarak yapılır.

Geçerli Microsoft Sentinel fiyatlandırma katmanınızı görmek için Microsoft Sentinel sol gezinti bölmesinden Ayarlar seçin ve ardından Fiyatlandırma sekmesini seçin. Geçerli fiyatlandırma katmanınız Geçerli katman olarak işaretlenir.

Fiyatlandırma katmanı taahhüdünüzü değiştirmek için fiyatlandırma sayfasındaki diğer katmanlardan birini seçin ve ardından Uygula'yı seçin. Fiyatlandırma katmanını değiştirmek için Microsoft Sentinel çalışma alanında Katkıda Bulunan veya Sahip olmanız gerekir.

Maliyetlerinizi izleme hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel maliyetlerini yönetme ve izleme.

Klasik fiyatlandırma katmanlarını kullanmaya devam eden çalışma alanları için Microsoft Sentinel fiyatlandırma katmanları Log Analytics ücretlerini içermez. Daha fazla bilgi için bkz . Basitleştirilmiş fiyatlandırma katmanları.

Farklı bir çalışma alanında güvenlikle ilgili olmayan verileri ayırma

Microsoft Sentinel, Microsoft Sentinel özellikli Log Analytics çalışma alanlarına alınan tüm verileri analiz eder. Microsoft Sentinel maliyetlerine yol açmadığından emin olmak için güvenlikle ilgili olmayan işlem verileri için ayrı bir çalışma alanı olması en iyisidir.

Microsoft Sentinel'de tehditleri avlarken veya araştırırken, bu tek başına Azure Log Analytics çalışma alanlarında depolanan işletimsel verilere erişmeniz gerekebilir. Günlük araştırma deneyiminde ve çalışma kitaplarında çalışma alanları arası sorgulamayı kullanarak bu verilere erişebilirsiniz. Ancak, Microsoft Sentinel tüm çalışma alanlarında etkinleştirilmediği sürece çalışma alanları arası analiz kurallarını ve tehdit avcılığı sorgularını kullanamazsınız.

Yüksek hacimli düşük güvenlik değeri (önizleme) veriler için temel günlük verileri alımını açma

Analiz günlüklerinden farklı olarak temel günlükler genellikle ayrıntılıdır. Geçici sorgulama, araştırma ve arama için sık kullanılmayan veya isteğe bağlı olarak erişilen yüksek hacimli ve düşük güvenlik değeri verilerinin bir karışımını içerir. Uygun veri tabloları için önemli ölçüde düşük maliyetle temel günlük verilerinin alımını etkinleştirin. Daha fazla bilgi için bkz . Microsoft Sentinel Fiyatlandırması.

Ayrılmış kümelerle Log Analytics maliyetlerini iyileştirme

Microsoft Sentinel çalışma alanınıza veya aynı bölgedeki çalışma alanlarına en az 500 GB alırsanız maliyetleri azaltmak için Log Analytics ayrılmış kümesine geçmeyi göz önünde bulundurun. Log Analytics ayrılmış kümesi Taahhüt Katmanı, toplam 500 GB veya daha fazlasını toplu olarak alan çalışma alanları genelinde veri hacmini toplar. Daha fazla bilgi için bkz . Ayrılmış küme için basitleştirilmiş fiyatlandırma katmanı.

Log Analytics ayrılmış kümesine birden çok Microsoft Sentinel çalışma alanı ekleyebilirsiniz. Microsoft Sentinel için Log Analytics ayrılmış kümesi kullanmanın birkaç avantajı vardır:

• Sorguda yer alan tüm çalışma alanları ayrılmış kümedeyse çalışma alanları arası sorgular daha hızlı çalışır. Ortamınızda mümkün olduğunca az çalışma alanı olması en iyisidir ve ayrılmış bir küme, tek bir çalışma alanları arası sorguya dahil etmek için 100 çalışma alanı sınırını korur.

• Ayrılmış kümedeki tüm çalışma alanları, kümedeki Log Analytics Taahhüt Katmanı kümesini paylaşabilir. Her çalışma alanı için ayrı Log Analytics Taahhüt Katmanları taahhüt etmek zorunda kalmak maliyet tasarrufu ve verimlilik sağlayabilir. Ayrılmış bir kümeyi etkinleştirerek günlük en az 500 GB Log Analytics Taahhüt Katmanına taahhüt vermiş olursunuz.

Maliyet iyileştirme için ayrılmış bir kümeye geçme konusunda dikkat edilmesi gereken diğer bazı noktalar şunlardır:

• Bölge ve abonelik başına küme sayısı üst sınırı ikidir.
• Bir kümeye bağlı tüm çalışma alanları aynı bölgede olmalıdır.
• Bir kümeye bağlı çalışma alanı sayısı üst sınırı 1000'dir.
• Bağlı bir çalışma alanının kümenizin bağlantısını kaldırabilirsiniz. Belirli bir çalışma alanında 30 günlük bir süre içinde bağlantı işlemlerinin sayısı iki ile sınırlıdır.
• Mevcut bir çalışma alanını müşteri tarafından yönetilen anahtar (CMK) kümesine taşıyamazsınız. Çalışma alanını kümede oluşturmanız gerekir.
• Kümeyi başka bir kaynak grubuna veya aboneliğe taşıma şu anda desteklenmiyor.
• Çalışma alanı başka bir kümeye bağlıysa bir kümeye çalışma alanı bağlantısı başarısız olur.

Ayrılmış kümeler hakkında daha fazla bilgi için bkz . Log Analytics ayrılmış kümeleri.

Azure Veri Gezgini veya arşivlenmiş günlüklerle uzun süreli veri saklama maliyetlerini azaltma (önizleme)

Microsoft Sentinel veri saklama ilk 90 gün boyunca ücretsizdir. Log Analytics'te veri saklama süresini ayarlamak için sol gezinti bölmesinde Kullanım ve tahmini maliyetler'i seçin, ardından Veri saklama'yı seçin ve kaydırıcıyı ayarlayın.

Microsoft Sentinel güvenlik verileri birkaç ay sonra değerinin bir kısmını kaybedebilir. Güvenlik operasyonları merkezi (SOC) kullanıcılarının eski verilere daha yeni veriler kadar sık erişmesi gerekmeyebilir, ancak yine de rastgele araştırma veya denetim amacıyla verilere erişmesi gerekebilir.

Azure İzleyici, Microsoft Sentinel veri saklama maliyetlerini azaltmanıza yardımcı olmak için artık arşivlenmiş günlükler sunuyor. Arşivlenen günlükler günlük verilerini kullanım sınırlamalarıyla birlikte daha düşük maliyetle yedi yıla kadar uzun süreler boyunca depolar. Arşivlenen günlükler genel önizleme aşamasındadır. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırma.

Alternatif olarak, azure Veri Gezgini kullanarak uzun süreli veri saklamayı daha düşük maliyetle yapabilirsiniz. Azure Veri Gezgini artık Microsoft Sentinel güvenlik zekası gerektirmeden eski veriler için doğru maliyet ve kullanılabilirlik dengesini sağlar.

Azure Veri Gezgini ile verileri daha düşük bir fiyata depolayabilir, ancak yine de Microsoft Sentinel'dekiyle aynı Kusto Sorgu Dili (KQL) sorgularını kullanarak verileri keşfedebilirsiniz. Platformlar arası sorgular yapmak için Azure Veri Gezgini proxy özelliğini de kullanabilirsiniz. Bu sorgular Azure Veri Gezgini, Application Analizler, Microsoft Sentinel ve Log Analytics'e yayılmış verileri toplar ve bağıntılar.

Daha fazla bilgi için bkz. Uzun süreli günlük saklama için Azure Veri Gezgini tümleştirme.

Windows Güvenliği Olaylarınız için veri toplama kurallarını kullanma

Windows Güvenliği Olayları bağlayıcısı, fiziksel, sanal veya şirket içi sunucular da dahil olmak üzere Microsoft Sentinel çalışma alanınıza bağlı Windows Server çalıştıran herhangi bir bilgisayardan ya da herhangi bir buluttaki güvenlik olaylarının akışını sağlamanızı sağlar. Bu bağlayıcı, her aracıdan toplayacak verileri tanımlamak için veri toplama kurallarını kullanan Azure İzleyici aracısına yönelik desteği içerir.

Veri toplama kuralları, koleksiyon ayarlarını büyük ölçekte yönetmenize olanak tanırken, makinelerin alt kümeleri için benzersiz, kapsamlı yapılandırmalara izin verir. Daha fazla bilgi için bkz. Azure İzleyici aracısı için veri toplamayı yapılandırma.

Tüm olaylar, En Az veya Ortak gibi almak için seçebileceğiniz önceden tanımlanmış olay kümelerinin yanı sıra, veri toplama kuralları özel filtreler oluşturmanıza ve alınması gereken belirli olayları seçmenize olanak tanır. Azure İzleyici Aracısı bu kuralları kullanarak kaynakta verileri filtreler ve ardından yalnızca seçtiğiniz olayları alır ve diğer her şeyi geride bırakır. Almak için belirli olayları seçmek maliyetlerinizi iyileştirmenize ve daha fazla tasarruf etmenizi sağlayabilir.

Sonraki adımlar

• Microsoft Maliyet Yönetimi ile bulut yatırımınızı iyileştirmeyi öğrenin.
• Maliyet analizi ile maliyetleri yönetme hakkında daha fazla bilgi edinin.
• Beklenmeyen maliyetleri önleme hakkında bilgi edinin.
• Maliyet Yönetimi destekli öğrenme kursuna katılın.
• Log Analytics veri hacmini azaltma hakkında daha fazla ipucu için bkz . Azure İzleyici en iyi yöntemleri - Maliyet yönetimi.