Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. Хотя в этой статье разъясняется сокращение затрат для Microsoft Sentinel, вам начисляется плата по всем службам и ресурсам Azure, используемым в вашей подписке Azure, включая партнерские службы.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Установить или изменить ценовой уровень
Чтобы оптимизировать наибольшую экономию, отслеживайте объем данных, чтобы гарантировать, что уровень обязательств, который наилучшим образом соответствует вашим шаблонам объема данных. Рассмотрите возможность увеличения или уменьшения уровня обязательств, чтобы адаптироваться к изменению объёмов данных.
Вы можете в любой момент увеличить уровень обязательств, который перезапускает период обязательств 31 дня. Тем не менее, чтобы вернуться к оплате по мере использования или к более низкой категории обязательств, необходимо ждать, пока 31-дневный период обязательств завершится. Выставление счетов за уровни обязательств осуществляется ежедневно.
Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите "Параметры " в левой области навигации Microsoft Sentinel и перейдите на вкладку "Цены ". Текущая ценовая категория помечена текущей категорией.
Чтобы изменить обязательство ценовой категории, выберите один из других уровней на странице ценообразования и нажмите кнопку "Применить". Чтобы изменить ценовую категорию, необходимо быть Участником или Владельцем рабочей области Microsoft Sentinel.
Дополнительные сведения о мониторинге затрат см. в статье "Управление затратами и мониторинг затрат на Microsoft Sentinel".
Для рабочих областей, которые по-прежнему используют классические ценовые категории, ценовые категории Microsoft Sentinel не включают расходы на Log Analytics. Дополнительные сведения см. в разделе "Упрощенная ценовая категория".
Купите план предварительной покупки
Экономьте на стоимости уровня аналитики Microsoft Sentinel, предварительно покупая единицы предоплаты Microsoft Sentinel (КФЕ). Используйте заранее приобретенные единицы вычислительной мощности в любое время в течение срока действия одного года покупки.
Любые применимые затраты Microsoft Sentinel сначала автоматически вычитаются из заранее приобретенных единиц вычислений (CU). Вам не нужно повторно развертывать или назначать предварительно приобретенный план рабочим областям Microsoft Sentinel для использования CU, чтобы получить скидки перед покупкой.
Дополнительные сведения см. в статье "Оптимизация затрат Microsoft Sentinel с помощью плана предварительной покупки".
Разделите данные, не относящиеся к безопасности, в другую рабочую область.
Microsoft Sentinel анализирует все данные, принятые в рабочие области Log Analytics, поддерживаемые Microsoft Sentinel. Рекомендуется иметь отдельную рабочую область для данных, не связанных с операциями безопасности, чтобы гарантировать, что это не повлечет за собой затраты Microsoft Sentinel.
Используйте озеро данных Microsoft Sentinel для данных низкой достоверности или вторичных данных безопасности
Хотя уровень аналитики наиболее подходит для непрерывного обнаружения угроз в режиме реального времени, озеро данных Microsoft Sentinel хорошо подходит для запросов и аналитики вторичных данных безопасности, которые не требуются для обнаружения угроз в режиме реального времени. Microsoft Sentinel data lake предлагает прием и хранение по значительно сниженной стоимости. Дополнительные сведения см. в разделе о ценах на Microsoft Sentinel.
Оптимизация затрат Log Analytics с помощью выделенных кластеров
Если вы отправляете не менее 100 ГБ в рабочую область или рабочие области Microsoft Sentinel в том же регионе, рассмотрите возможность перехода на выделенный кластер Log Analytics, чтобы снизить затраты. Тарифный план выделенного кластера Log Analytics агрегирует объем данных между рабочими областями, которые совместно обрабатывают 100 ГБ или более. Дополнительные сведения см. в разделе "Упрощенная ценовая категория" для выделенного кластера.
В выделенный кластер Log Analytics можно добавить несколько рабочих областей Microsoft Sentinel. Существует несколько преимуществ использования выделенного кластера Log Analytics для Microsoft Sentinel.
Запросы между рабочими областями выполняются быстрее, если все рабочие области, участвующие в запросе, находятся в выделенном кластере. В вашей среде по-прежнему рекомендуется иметь как можно меньше рабочих областей, а выделенный кластер по-прежнему сохраняет ограничение на 100 рабочих областей для включения в один запрос между рабочими областями.
Все рабочие области в выделенном кластере могут совместно использовать уровень обязательств Log Analytics в кластере. Не нужно зафиксировать отдельные уровни обязательств Log Analytics для каждой рабочей области, что позволяет сократить затраты и эффективность. Включив выделенный кластер, вы обязуетесь на минимальный уровень обязательств Log Analytics в 100 ГБ на обработку в день.
Ниже приведены некоторые другие рекомендации по переходу на выделенный кластер для оптимизации затрат.
- Максимальное количество кластеров на регион и подписку составляет два.
- Все рабочие области, связанные с кластером, должны находиться в одном регионе.
- Максимальное количество рабочих областей, связанных с кластером, — 1000.
- Можно отменить связь между рабочей областью и кластером. Для одной рабочей области можно выполнить не более двух операций привязки в течение 30 дней.
- Переместить существующую рабочую область в кластер с ключом, управляемым клиентом (CMK), не удастся. Потребуется создать рабочую область в кластере.
- Перемещение кластера в другую группу ресурсов или подписку в настоящее время не поддерживается.
- Связь рабочей области с кластером не будет работать, если рабочая область связана с другим кластером.
Дополнительные сведения о выделенных кластерах см. в разделе "Выделенные кластеры Log Analytics".
Снижайте затраты на хранение данных с полным сохранением данных
Microsoft Sentinel сохраняет данные уровня аналитики по умолчанию в течение первых 90 дней в хранении аналитики. По мере возраста данных она теряет свое значение для аналитики и исследования в режиме реального времени. Пользователи центра безопасности (SOC) могут не получать доступ к старым данным как часто, но по-прежнему хотят получить доступ к данным для более широких исторических исследований или аудита. Чтобы снизить затраты на хранение данных Microsoft Sentinel, доступен общий объем хранения. Данные, которые выходят из состояния аналитического хранения, по-прежнему могут храниться с гораздо меньшими затратами и быть доступны с помощью функций исследования в озере данных. Дополнительные сведения см. в статье "Исследование озера" в запросах KQL.
Используйте таблицы управления > данными для настройки периода хранения аналитики и общего периода хранения данных.
Использование правил сбора данных для событий безопасности Windows
Соединитель событий безопасности Windows позволяет передавать события безопасности с любого компьютера под управлением Windows Server, подключенного к рабочей области Microsoft Sentinel, включая физические, виртуальные или локальные серверы или в любом облаке. Этот соединитель включает поддержку агента Azure Monitor, который использует правила сбора данных для определения, какие данные собирать от каждого агента.
Правила сбора данных позволяют управлять параметрами сбора в большом масштабе, сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Дополнительные сведения см. в разделе "Настройка сбора данных" для агента Azure Monitor.
Помимо стандартных наборов событий, которые можно выбрать для приема, таких как все события, минимальный или общий набор, правила сбора данных позволяют создавать собственные фильтры и выбирать определенные события для приема. Агент Azure Monitor использует эти правила для фильтрации данных в источнике, а затем приема только выбранных событий, оставляя все остальное позади. Выбор конкретных событий для приема помогает оптимизировать затраты и экономить деньги.
Следующие шаги
- Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
- Узнайте больше об управлении затратами с помощью анализа затрат.
- Узнайте, как предотвратить непредвиденные затраты.
- Ознакомьтесь с учебным курсом по управлению затратами .
- Дополнительные советы по сокращению объема данных Log Analytics см. в рекомендациях по управлению затратами в Azure Monitor.
- Дополнительные сведения о озере данных Microsoft Sentinel см. в разделе Озера данных Microsoft Sentinel.
- Чтобы подключить данные к озеру данных Microsoft Sentinel, см. раздел "Подключение данных к озеру данных Microsoft Sentinel".