Oszacuj koszty za pomocą kalkulatora kosztów usługi Microsoft Defender dla Chmury

Kalkulator kosztów usługi Microsoft Defender dla Chmury to przydatne narzędzie do szacowania potencjalnych kosztów związanych z potrzebami w zakresie bezpieczeństwa w chmurze. Umożliwia skonfigurowanie różnych planów i środowisk, zapewniając szczegółowe zestawienie kosztów, w tym obowiązujące rabaty.

Uzyskiwanie dostępu do kalkulatora kosztów

Aby użyć kalkulatora kosztów usługi Defender for Cloud, przejdź do sekcji Ustawienia środowiska w usłudze Microsoft Defender for Cloud. Wybierz przycisk Kalkulator kosztów znajdujący się w górnej sekcji interfejsu.

Konfigurowanie planów i środowisk Defender dla Chmury

Na pierwszej stronie kalkulatora wybierz przycisk Dodaj zasoby , aby rozpocząć dodawanie zasobów do obliczenia kosztów. Istnieją trzy metody dodawania zasobów:

• Dodawanie zasobów ze środowisk dołączonych: zalecane — dodawanie zasobów ze środowisk już dołączonych do usługi Defender for Cloud. Ta metoda obejmuje wszystkie plany platformy Azure i działa szybciej niż opcja skryptu.
• Dodawanie zasobów za pomocą skryptu: pobierz i wykonaj skrypt, aby automatycznie dodać istniejące zasoby. Zalecane w przypadku środowisk (takich jak projekty AWS lub GCP), które nie zostały jeszcze dołączone do platformy Azure.
• Dodawanie niestandardowych zasobów: dodawanie zasobów ręcznie bez używania automatyzacji.

Dodawanie zasobów ze środowisk dołączonych

1. Wybierz z listy środowisk platformy Azure, które zostały już dołączone do Defender dla Chmury, aby uwzględnić je w obliczeniu kosztów.

   Uwaga

   Kalkulator odnajduje zasoby, dla których masz uprawnienia.

2. Wybierz plany. Kalkulator szacuje koszt na podstawie wybranych opcji i wszelkich istniejących rabatów.

Dodawanie zasobów za pomocą skryptu

1. Wybierz typ środowiska (Azure, AWS lub GCP) i skopiuj skrypt do nowego pliku *.ps1.

   Uwaga

   Skrypt zbiera tylko informacje, do których użytkownik, do którego jest uruchomiony.

2. Uruchom skrypt w środowisku programu PowerShell 7.X przy użyciu uprzywilejowanego konta użytkownika. Skrypt zbiera informacje o rozliczanych zasobach i tworzy plik CSV. Zbiera informacje w dwóch krokach. Najpierw zbiera bieżącą liczbę rozliczanych zasobów, które zwykle pozostają stałe. Po drugie, zbiera informacje na temat aktywów podlegających rozliczaniu, które mogą zmieniać się dużo w ciągu miesiąca. W przypadku tych zasobów sprawdza użycie w ciągu ostatnich 30 dni, aby oszacować koszt. Skrypt można zatrzymać po pierwszym kroku, który trwa kilka sekund. Możesz też nadal zbierać ostatnie 30 dni użycia dla zasobów dynamicznych, co może trwać dłużej w przypadku dużych kont.

3. Przekaż ten plik CSV do kreatora, w którym pobrano skrypt.

4. Wybierz żądane plany Defender dla Chmury. Kalkulator szacuje koszty na podstawie wybranego wyboru i wszelkich istniejących rabatów.

Wymagane uprawnienia dla skryptów

Ta sekcja zawiera omówienie uprawnień wymaganych do uruchamiania skryptów dla każdego dostawcy usług w chmurze.

Azure

Aby pomyślnie uruchomić ten skrypt dla każdej subskrypcji, używane konto wymaga uprawnień, które zezwalają na:

• Odnajdywanie i wyświetlanie listy zasobów (w tym maszyn wirtualnych, kont magazynu, usług APIM, kont usługi Cosmos DB i innych zasobów).

• Wykonywanie zapytań względem usługi Resource Graph (za pośrednictwem polecenia Search-AzGraph).

• Odczytywanie metryk (za pośrednictwem polecenia Get-AzMetric i interfejsów API usługi Azure Monitor/Insights).

Zalecana wbudowana rola:

W większości przypadków wystarczająca jest rola Czytelnik w zakresie subskrypcji. Rola Czytelnik zapewnia następujące kluczowe możliwości wymagane przez ten skrypt:

• Odczytywanie wszystkich typów zasobów (dzięki czemu można wyświetlać i analizować elementy, takie jak konta magazynu, maszyny wirtualne, cosmos DB i usługa APIM itp.).
• Odczytywanie metryk (Microsoft.Insights/metrics/read), dzięki czemu wywołania polecenia Get-AzMetric lub bezpośrednie zapytania REST usługi Azure Monitor kończą się powodzeniem.
• Zapytania usługi Resource Graph działają tak długo, jak masz co najmniej dostęp do odczytu do tych zasobów w subskrypcji.

Jeśli masz już role Współautor lub Właściciel:

• Współautor lub Właściciel subskrypcji jest więcej niż wystarczający (te role są uprzywilejowane niż Czytelnik).
• Skrypt nie wykonuje tworzenia ani usuwania zasobów. W związku z tym przyznanie ról wysokiego poziomu (takich jak Współautor/Właściciel) do wyłącznego celu zbierania danych może być nadmierne z perspektywy najniższych uprawnień.

Podsumowanie:

Przyznanie użytkownikowi lub jednostce usługi roli Czytelnik (lub jakiejkolwiek wyższej roli z uprawnieniami) w każdej subskrypcji, które chcesz przeszukać, zapewnia, że skrypt może:

• Pobierz listę subskrypcji.
• Wyliczanie i odczytywanie wszystkich odpowiednich informacji o zasobach (za pośrednictwem interfejsu REST lub az programu PowerShell).
• Pobierz niezbędne metryki (żądania dotyczące usługi APIM, użycia jednostek RU dla usługi Cosmos DB, ruchu przychodzącego kont magazynu itp.).
• Uruchamianie zapytań usługi Resource Graph bez problemu.

AWS

Skrypt platformy AWS obsługuje dwa przepływy odnajdywania:

• Odnajdywanie pojedynczego konta — odnajduje zasoby na jednym koncie platformy AWS
• Odnajdywanie organizacji — odnajduje zasoby na wszystkich kontach członków w organizacji platformy AWS

Odnajdywanie pojedynczego konta

W przypadku odnajdywania pojedynczego konta w poniższym omówieniu opisano uprawnienia, których tożsamość platformy AWS (użytkownik lub rola) musi pomyślnie uruchomić ten skrypt. Skrypt wylicza zasoby (EC2, RDS, EKS, S3 i inne) i pobiera metadane dla tych zasobów. Nie tworzy, modyfikuje ani usuwa zasobów, więc dostęp tylko do odczytu jest wystarczający w większości przypadków.

Zasady zarządzane platformy AWS: ReadOnlyAccess lub ViewOnlyAccess:

Najprostszym podejściem jest dołączenie jednej z wbudowanych zasad platformy AWS tylko do odczytu do podmiotu zabezpieczeń IAM (użytkownika lub roli), który uruchamia ten skrypt. Oto kilka przykładów:

• arn:aws:iam::aws:policy/ReadOnlyAccess
• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Każda z tych zasad obejmuje opis i listę uprawnień dla większości usług AWS. Jeśli zezwalają na to zasady zabezpieczeń środowiska, readOnlyAccess jest najprostszym sposobem zapewnienia, że skrypt działa we wszystkich zasobach platformy AWS, które wylicza.

Kluczowe usługi i wymagane uprawnienia:

Jeśli potrzebujesz bardziej szczegółowego podejścia z niestandardowymi zasadami zarządzania dostępem i tożsamościami, wymagane są następujące usługi i uprawnienia:

• EC2
  • ec2:DescribeInstances
  • ec2:DescribeRegions
  • ec2:DescribeInstanceTypes (w przypadku pobierania informacji o procesorze wirtualnym/rdzeniu)
• RDS
  • rds:DescribeDBInstances
• EKS
  • eks:ListClusters
  • eks:DescribeCluster
  • eks:ListNodegroups
  • eks:DescribeNodegroup
• Automatyczne skalowanie (w przypadku grup węzłów EKS bazowych wystąpień)
  • autoskalowanie:DescribeAutoScalingGroups
• S3
  • s3:ListAllMyBuckets
• O.
  • sts:GetCallerIdentity (aby pobrać identyfikator konta platformy AWS)

Ponadto jeśli musisz wyświetlić listę innych zasobów, które nie są wyświetlane w skrypcie lub jeśli planujesz rozszerzyć możliwości skryptu, upewnij się, że w razie potrzeby przyznasz odpowiednie akcje Describe*, List* i Get*.

Odnajdywanie organizacji

W przypadku odnajdywania w całej organizacji potrzebne są następujące elementy:

• Na koncie zarządzania: uprawnienie do wyświetlania listy wszystkich kont w organizacji

  • organizations:ListAccounts

• We wszystkich kontach członkowskich: rola z tymi samymi uprawnieniami co opisane dla odnajdywania pojedynczego konta (ReadOnlyAccess lub uprawnienia niestandardowe wymienione powyżej)

Konfigurowanie odnajdywania organizacji:

1. Utwórz rolę zarządzanie dostępem i tożsamościami na każdym koncie członkowskim z wymaganymi uprawnieniami do odczytu (zgodnie z opisem w temacie Odnajdywanie pojedynczego konta)
2. Konfigurowanie roli w celu zaufania podmiotowi zabezpieczeń uruchamiającemu skrypt odnajdywania
3. Upewnij się, że podmiot zabezpieczeń uruchamiany skrypt ma następujące jednostki:
   • Uprawnienie do przejmowania roli na każdym koncie członka
   • Uprawnienie organizations:ListAccounts na koncie zarządzania

Podsumowanie:

• Najprostszym podejściem jest dołączenie wbudowanych zasad ReadOnlyAccess platformy AWS, które już obejmują wszystkie akcje wymagane do wyświetlenia listy i opisania ec2, RDS, EKS, S3, automatycznego skalowania zasobów i wywołania usługi STS w celu uzyskania informacji o koncie.
• Aby udzielić wystarczającej ilości uprawnień, utwórz niestandardowe zasady tylko do odczytu z powyższymi akcjami Describe*, List*i Get* dla akcji EC2, RDS, EKS, Auto Scaling, S3 i STS.

Każda z metod daje skryptowi wystarczające uprawnienia do:

• Wyświetlanie listy regionów.
• Pobieranie metadanych wystąpienia usługi EC2.
• Pobieranie wystąpień usług pulpitu zdalnego.
• Wyświetlanie listy i opisywanie klastrów EKS i grup węzłów (oraz bazowych grup automatycznego skalowania).
• Wyświetl listę zasobników S3.
• Uzyskaj identyfikator konta platformy AWS za pośrednictwem usługi STS.

Ten zestaw uprawnień zapewnia, że skrypt może odnajdywać zasoby i pobierać odpowiednie metadane bez tworzenia, modyfikowania lub usuwania niczego.

GCP

W poniższym omówieniu opisano uprawnienia wymagane przez użytkownika lub konto usługi GCP do pomyślnego uruchomienia tego skryptu. Skrypt umożliwia odnajdywanie zasobów w jednym projekcie lub w wielu projektach w zależności od wybranej opcji. Aby oszacować koszty dla wielu projektów, upewnij się, że twoje konto ma wymagane uprawnienia w każdym projekcie, który chcesz uwzględnić. Skrypt zawiera listę i opis zasobów, takich jak wystąpienia maszyn wirtualnych, bazy danych SQL w chmurze, klastry GKE i zasobniki GCS we wszystkich wybranych projektach.

Zalecana wbudowana rola: Project Viewer

Najprostsze podejście w celu zapewnienia dostępu tylko do odczytu we wszystkich tych zasobach polega na udzielaniu użytkownikowi lub kontu usługi roli ról/osoby przeglądającej na poziomie projektu (tego samego projektu wybranego za pośrednictwem programu gcloud config set project).

Rola /osoba przeglądająca obejmuje dostęp tylko do odczytu do większości usług GCP w tym projekcie, w tym niezbędne uprawnienia:

• Compute Engine (lista wystąpień maszyn wirtualnych, szablonów wystąpień, typów maszyn i nie tylko).
• Cloud SQL (lista wystąpień SQL).
• Aparat Kubernetes (lista klastrów, pul węzłów i nie tylko).
• Usługa Cloud Storage (zasobniki listy).

Szczegółowe uprawnienia według usługi (jeśli tworzysz rolę niestandardową):

Jeśli wolisz bardziej szczegółowe podejście, utwórz niestandardową rolę zarządzania dostępem i tożsamościami lub zestaw ról, które łącznie udzielają tylko wymaganych akcji read-list-describe dla każdej usługi:

• Aparat obliczeniowy (dla wystąpień maszyn wirtualnych, regionów, szablonów wystąpień, menedżerów grup wystąpień):
  • compute.instances.list
  • compute.regions.list
  • compute.machineTypes.list
  • compute.instanceTemplates.get
  • compute.instanceGroupManagers.get
  • compute.instanceGroups.get
• Chmura SQL:
  • cloudsql.instances.list
• Aparat Google Kubernetes:
  • container.clusters.list
  • container.clusters.get (wymagane podczas opisywania klastrów)
  • container.nodePools.list
  • container.nodePools.get
• Magazyn w chmurze:
  • storage.buckets.list

Skrypt nie tworzy ani nie modyfikuje żadnych zasobów, dlatego nie wymaga uprawnień aktualizacji ani usuwania — tylko listy, pobierania ani opisywania uprawnień typu.

Podsumowanie:

• Używanie ról/podglądu na poziomie projektu jest najszybszym i najprostszym sposobem udzielenia wystarczającej ilości uprawnień do pomyślnego działania tego skryptu.
• W przypadku najbardziej rygorystycznego podejścia z najmniejszymi uprawnieniami utwórz lub połącz role niestandardowe, które zawierają tylko odpowiednią listę, opisz i uzyskaj akcje dla aparatu obliczeniowego, chmury SQL, GKE i magazynu w chmurze.

Za pomocą tych uprawnień skrypt może wykonywać następujące czynności:

• Uwierzytelnianie (gcloud auth login).
• Lista Wystąpienia maszyn wirtualnych, typy maszyn, menedżerowie grup wystąpień i podobne zasoby.
• Wyświetlanie listy wystąpień SQL w chmurze.
• Lista i opis klastrów GKE i pul węzłów.
• Wyświetlanie listy zasobników GCS.

Ten dostęp na poziomie odczytu umożliwia wyliczanie liczby zasobów i zbieranie metadanych bez modyfikowania ani tworzenia żadnych zasobów.

Przypisywanie dołączonych zasobów

1. Wybierz z listy środowisk platformy Azure, które zostały już dołączone do Defender dla Chmury, aby uwzględnić je w obliczeniu kosztów.

   Uwaga

   Kalkulator odnajduje zasoby, dla których masz uprawnienia.

2. Wybierz plany. Kalkulator szacuje koszt na podstawie wybranych opcji i wszelkich istniejących rabatów.

Przypisywanie zasobów niestandardowych

1. Wybierz nazwę środowiska niestandardowego.
2. Określ plany i liczbę rozliczanych zasobów dla każdego planu.
3. Wybierz typy zasobów, które mają zostać uwzględnione w obliczeniu kosztów.
4. Kalkulator szacuje koszty na podstawie danych wejściowych i wszelkich istniejących rabatów.

Dostosowywanie raportu

Po wygenerowaniu raportu można dostosować plany i liczbę rozliczanych zasobów:

1. Wybierz środowisko, które chcesz zmodyfikować, wybierając ikonę edycji (ołówka).
2. Zostanie wyświetlona strona konfiguracji, na której można dostosować plany, liczbę rozliczanych zasobów i średnią liczbę godzin miesięcznych.
3. Wybierz pozycję Oblicz ponownie, aby zaktualizować szacowanie kosztów.

Eksportowanie raportu

Jeśli raport jest zadowalający, możesz wyeksportować go jako plik CSV:

1. Wybierz pozycję Eksportuj do pliku CSV w dolnej części panelu Podsumowanie po prawej stronie.
2. Informacje o kosztach są pobierane jako plik CSV.

Często zadawane pytania

Jaki jest kalkulator kosztów?

Kalkulator kosztów to narzędzie, które upraszcza szacowanie kosztów na potrzeby ochrony zabezpieczeń. Podczas definiowania zakresu żądanych planów i środowisk kalkulator udostępnia szczegółowy podział potencjalnych wydatków, w tym wszelkie odpowiednie rabaty.

Jak działa kalkulator kosztów?

Wybierasz środowiska i plany, które chcesz włączyć. Następnie kalkulator wykonuje proces odnajdywania, aby automatycznie wypełnić liczbę rozliczanych jednostek dla każdego planu na środowisko. Możesz również ręcznie dostosować ilości jednostek i poziomy rabatów.

Jaki jest proces odnajdywania?

Proces odnajdywania generuje raport wybranego środowiska, w tym spis rachunków zasobów według różnych planów Defender dla Chmury. Ten proces opiera się na uprawnieniach użytkownika i stanie środowiska w momencie odnajdywania. W przypadku dużych środowisk ten proces może potrwać od około 30 do 60 minut, ponieważ próbkuje również zasoby dynamiczne.

Czy muszę przyznać jakiekolwiek specjalne uprawnienie do kalkulatora kosztów w celu wykonania procesu odnajdywania?

Kalkulator kosztów używa istniejących uprawnień do uruchamiania skryptu i automatycznego odnajdywania. Zbiera niezbędne dane bez konieczności stosowania dalszych praw dostępu. Aby zobaczyć, jakie uprawnienia należy uruchomić skrypt, zapoznaj się z sekcją Wymagane uprawnienia dla skryptów .

Czy oszacowania dokładnie przewidują mój koszt?

Kalkulator udostępnia oszacowanie na podstawie informacji dostępnych podczas uruchamiania skryptu. Różne czynniki mogą mieć wpływ na ostateczny koszt, dlatego należy wziąć pod uwagę przybliżone obliczenie.

Jakie są rozliczane jednostki?

Koszt planów jest oparty na jednostkach, które chronią. Poszczególne opłaty za plan dla innego typu jednostki, które można znaleźć na stronie ustawień środowiska Microsoft Defender for Cloud Environment.

Czy mogę ręcznie dostosować oszacowania?

Tak, kalkulator kosztów obsługuje automatyczne zbieranie danych i ręczne korekty. Możesz zmodyfikować ilość jednostkową i poziomy rabatów, aby lepiej odzwierciedlać konkretne potrzeby i zobaczyć, jak te zmiany wpływają na całkowity koszt.

Czy kalkulator obsługuje wielu dostawców usług w chmurze?

Tak, oferuje ona obsługę wielochmurową, zapewniając, że można uzyskać dokładne oszacowania kosztów niezależnie od dostawcy usług w chmurze.

Jak mogę udostępnić szacowany koszt?

Po wygenerowaniu oszacowania kosztów można łatwo wyeksportować i udostępnić go na potrzeby planowania i zatwierdzania budżetu. Ta funkcja gwarantuje, że wszyscy uczestnicy projektu mają dostęp do niezbędnych informacji.

Gdzie mogę uzyskać pomoc, jeśli mam pytania?

Nasz zespół pomocy technicznej jest gotowy do uzyskania pomocy w zakresie wszelkich pytań lub wątpliwości, które mogą cię napotkać. Możesz skontaktować się z nami, aby uzyskać pomoc.

Jak mogę wypróbować kalkulator kosztów?

Wypróbuj nowy kalkulator kosztów i zobacz jego korzyści. Uzyskaj dostęp do narzędzia i rozpocznij definiowanie zakresu potrzeb ochrony. Aby użyć kalkulatora kosztów usługi Defender for Cloud, przejdź do ustawień środowiska Microsoft Defender for Cloud Environment i wybierz przycisk Kalkulator kosztów .

Powiązana zawartość

• Cennik usługi Microsoft Defender dla Chmury
• Optymalizowanie kosztów Microsoft Defender dla Chmury przy użyciu planu przedkupem