Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak obniżyć koszty usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Ustawianie lub zmienianie warstwy cenowej
Aby zoptymalizować pod kątem najwyższych oszczędności, monitoruj wolumen danych, aby upewnić się, że masz poziom zobowiązania, który najbardziej odpowiada wzorcom wolumenu danych. Rozważ zwiększenie lub zmniejszenie poziomu zobowiązania, aby dostosować się do zmieniających się wolumenów danych.
Możesz zwiększyć warstwę zobowiązania w dowolnym momencie, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Jednak aby powrócić do trybu płatności zgodnie z rzeczywistym użyciem lub do niższego poziomu zobowiązania, musisz poczekać, aż zakończy się 31-dniowy okres zobowiązania. Rozliczenia dla warstw zobowiązań są naliczane codziennie.
Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w obszarze nawigacji po lewej stronie usługi Microsoft Sentinel, a następnie wybierz kartę Cennik . Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.
Aby zmienić zobowiązanie dotyczące warstwy cenowej, wybierz jedną z pozostałych warstw na stronie cennika, a następnie wybierz pozycję Zastosuj. Aby zmienić warstwę cenową, musisz mieć współautora lub właściciela obszaru roboczego usługi Microsoft Sentinel.
Aby dowiedzieć się więcej na temat monitorowania kosztów, zobacz Zarządzanie kosztami i monitorowanie ich dla usługi Microsoft Sentinel.
W przypadku obszarów roboczych, które nadal korzystają z klasycznych poziomów cenowych, poziomy cenowe Microsoft Sentinel nie uwzględniają opłat za Log Analytics. Aby uzyskać więcej informacji, zobacz Uproszczone warstwy cenowe.
Kup plan przedzakupowy
Oszczędzaj na kosztach warstwy analizy usługi Microsoft Sentinel podczas wcześniejszego zakupu jednostek zatwierdzeń usługi Microsoft Sentinel. Użyj wstępnie zakupionych jednostek w dowolnym momencie w ciągu jednorocznego okresu zakupu.
Wszelkie kwalifikujące się koszty usługi Microsoft Sentinel są najpierw automatycznie odejmowane od wcześniej zakupionych jednostek przeliczeniowych (CU). Nie musisz ponownie wdrażać ani przypisywać wcześniej zakupionego planu do przestrzeni roboczych Microsoft Sentinel, aby uzyskać rabaty za użycie.
Aby uzyskać więcej informacji, zobacz Optymalizowanie kosztów usługi Microsoft Sentinel przy użyciu planu zakupu z góry.
Oddzielanie danych niezwiązanych z zabezpieczeniami w innym obszarze roboczym
Microsoft Sentinel analizuje wszystkie dane wprowadzone do obszarów roboczych Log Analytics, które są używane przez Microsoft Sentinel. Najlepiej mieć oddzielny obszar roboczy dla danych operacji niezwiązanych z zabezpieczeniami, aby upewnić się, że nie ponosi kosztów usługi Microsoft Sentinel.
Używanie jeziora danych Microsoft Sentinel w celu uzyskania danych zabezpieczeń o niższej jakości lub danych drugorzędnych.
Warstwa analizy jest najbardziej odpowiednia do ciągłego wykrywania zagrożeń w czasie rzeczywistym, ale usługa Data Lake usługi Microsoft Sentinel jest dobrze odpowiednia do wykonywania zapytań i analiz pomocniczych danych zabezpieczeń, które nie są potrzebne do wykrywania zagrożeń w czasie rzeczywistym. Jezioro danych Microsoft Sentinel oferuje pozyskiwanie i przechowywanie przy znacznie obniżonych kosztach. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.
Optymalizowanie kosztów usługi Log Analytics za pomocą dedykowanych klastrów
Jeśli załadujesz co najmniej 100 GB do obszaru roboczego lub obszarów roboczych Microsoft Sentinel w tym samym regionie, rozważ przejście na dedykowany klaster Log Analytics, aby obniżyć koszty. Dedykowany poziom zobowiązania klastra usługi Log Analytics agreguje wolumen danych we workspace, które łącznie ingestują 100 GB lub więcej. Aby uzyskać więcej informacji, zobacz Uproszczona warstwa cenowa dla dedykowanego klastra.
Do dedykowanego klastra usługi Log Analytics można dodać wiele obszarów roboczych usługi Microsoft Sentinel. Korzystanie z dedykowanego klastra usługi Log Analytics dla usługi Microsoft Sentinel ma kilka zalet:
Zapytania obejmujące wiele obszarów roboczych działają szybciej, jeśli wszystkie obszary robocze zaangażowane w zapytanie znajdują się w dedykowanym klastrze. Nadal najlepiej mieć jak najmniej obszarów roboczych w danym środowisku, a dedykowany klaster nadal zachowuje limit 100 obszarów roboczych do uwzględnienia w pojedynczym zapytaniu obejmującym wiele obszarów roboczych.
Wszystkie obszary robocze w dedykowanym klastrze mogą współdzielić poziom zaangażowania usługi Log Analytics ustawiony w klastrze. Nie trzeba zatwierdzać oddzielnych warstw zobowiązań usługi Log Analytics dla każdego obszaru roboczego, co pozwala zaoszczędzić koszty i wydajność. Włączając dedykowany klaster, należy zobowiązać się do minimalnego poziomu zaangażowania Log Analytics wynoszącego 100 GB przetwarzania dziennie.
Poniżej przedstawiono kilka innych zagadnień dotyczących przechodzenia do dedykowanego klastra na potrzeby optymalizacji kosztów:
- Maksymalna liczba klastrów na region i subskrypcja to dwa.
- Wszystkie obszary robocze połączone z klastrem muszą znajdować się w tym samym regionie.
- Maksymalna liczba obszarów roboczych połączonych z klastrem wynosi 1000.
- Możesz odłączyć połączony obszar roboczy z klastra. Liczba operacji łączenia w określonym obszarze roboczym jest ograniczona do dwóch w okresie 30 dni.
- Nie można przenieść istniejącego obszaru roboczego do klastra klucza zarządzanego przez klienta (CMK). Należy utworzyć obszar roboczy w klastrze.
- Przenoszenie klastra do innej grupy zasobów lub subskrypcji nie jest obecnie obsługiwane.
- Łącze obszaru roboczego do klastra kończy się niepowodzeniem, jeśli obszar roboczy jest połączony z innym klastrem.
Aby uzyskać więcej informacji na temat dedykowanych klastrów, zobacz Dedykowane klastry usługi Log Analytics.
Zmniejszanie kosztów przechowywania danych przy użyciu całkowitego przechowywania
Usługa Microsoft Sentinel domyślnie przechowuje dane warstwy analitycznej przez pierwsze 90 dni przechowywania analiz. W miarę starzenia się danych traci wartość analizy i badania w czasie rzeczywistym. Użytkownicy usługi Security Operations Center (SOC) mogą nie uzyskiwać dostępu do starszych danych tak często, ale nadal chcą uzyskać dostęp do danych w celu przeprowadzenia szerszych badań historycznych lub celów inspekcji. Aby ułatwić zmniejszenie kosztów przechowywania danych w usłudze Microsoft Sentinel, dostępne jest całkowite przechowywanie. Dane, które wychodzą ze stanu przechowywania analitycznego, mogą być nadal przechowywane po znacznie obniżonych kosztach i dostępne do eksploracji przy użyciu możliwości eksploracji w jeziorach danych. Aby uzyskać więcej informacji, zobacz Eksploracja usługi Lake, zapytania KQL.
Użyj tabel zarządzania > danymi , aby dostosować analizę i łączny okres przechowywania.
Użyj reguł zbierania danych dla zdarzeń zabezpieczeń systemu Windows
Łącznik Windows Security Events umożliwia przesyłanie strumieniowe zdarzeń zabezpieczeń z dowolnego komputera z systemem Windows Server, który jest połączony z obszarem roboczym Microsoft Sentinel, włącznie z serwerami fizycznymi, wirtualnymi, lokalnymi lub w jakiejkolwiek chmurze. Ten łącznik obejmuje obsługę agenta usługi Azure Monitor, który używa reguł zbierania danych, aby określić, jakie dane mają być zbierane od każdego agenta.
Reguły zbierania danych umożliwiają zarządzanie ustawieniami kolekcji na dużą skalę, jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.
Oprócz wstępnie zdefiniowanych zestawów zdarzeń, które można wybrać do pozyskiwania, takich jak Wszystkie zdarzenia, Minimalne lub Wspólne, reguły zbierania danych umożliwiają tworzenie niestandardowych filtrów i wybieranie określonych zdarzeń do pozyskiwania. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle, a następnie pozyskuje tylko wybrane zdarzenia, pomijając wszystko inne. Wybranie określonych zdarzeń do przetwarzania może pomóc zoptymalizować koszty i zwiększyć oszczędności.
Następne kroki
- Dowiedz się , jak zoptymalizować inwestycję w chmurę za pomocą usługi Microsoft Cost Management.
- Dowiedz się więcej o zarządzaniu kosztami za pomocą analizy kosztów.
- Dowiedz się, jak zapobiegać nieoczekiwanym kosztom.
- Weź udział w kursie szkoleniowym Cost Management.
- Aby uzyskać więcej wskazówek dotyczących zmniejszania ilości danych usługi Log Analytics, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami.
- Aby dowiedzieć się więcej na temat jeziora danych Microsoft Sentinel, zobacz Microsoft Sentinel data lake.
- Aby dołączyć do usługi Data Lake usługi Microsoft Sentinel, zobacz Dołączanie danych do usługi Data Lake usługi Microsoft Sentinel.