降低 Microsoft Sentinel 的成本

Microsoft Sentinel 的成本只是 Azure 帐单中每月成本的一部分。 尽管本文介绍了如何降低 Microsoft Sentinel 的成本,但仍需要为 Azure 订阅使用的所有 Azure 服务和资源(包括合作伙伴服务)付费。

设置或更改定价层级

要进行优化以实现最大程度的节省,需要监视你的引入量,以确保你的承诺层级最贴近你的引入量模式。 可以增加或减少承诺层,以适应不断变化的数据量。

可以随时增大的承诺层级,这将重新开始 31 天的承诺期。 但是,要切换回到即用即付或更低的承诺层级,必须等到 31 天承诺期结束。 承诺层级的计费是按天计费。

要查看当前的 Microsoft Sentinel 定价层级,请在 Microsoft Sentinel 左侧导航中选择“设置”,然后选择“定价”选项卡。当前定价层标记为“当前层” 。

若要更改定价层级承诺,请在定价页上选择一个其他层,然后选择“应用”。 必须拥有 Microsoft Sentinel 工作区的参与者或所有者才能更改定价层。

Microsoft Sentinel 设置中“定价”页面的屏幕截图,其中选择了“即用即付”为当前定价层。

对于仍在使用经典定价层的工作区,Microsoft Sentinel 定价层不包括 Log Analytics 费用。 有关详细信息,请参阅简化的定价层

将非安全数据分隔到不同的工作区中

Microsoft Sentinel 分析引入到启用了 Microsoft Sentinel 的 Log Analytics 工作区中的所有数据。 最好为非安全操作数据使用单独的工作区,以确保不会产生 Microsoft Sentinel 成本。

在 Microsoft Sentinel 中搜寻或调查威胁时,可能需要访问存储在这些独立 Azure Log Analytics 工作区中的操作数据。 可以通过在日志探索体验和工作簿中使用跨工作区查询来访问这些数据。 但是,除非对所有工作区启用了 Microsoft Sentinel,否则不能使用跨工作区分析规则和搜寻查询。

对于量大、安全值低的数据,打开基本日志数据引入(预览版)

与分析日志不同,基本日志通常是详细的。 它们包含大量低安全值数据,对于临时查询、调查和搜索不常使用或访问它们。 对于符合条件的数据表,以极低成本启用基本日志数据引入。 有关详细信息,请参阅 Microsoft Sentinel 定价

使用专用群集优化 Log Analytics 成本

如果要在同一区域内的 Microsoft Sentinel 工作区中至少引入 500 GB 的数据量,请考虑迁移到 Log Analytics 专用群集以降低成本。 Log Analytics 专用群集承诺层级将聚合各个工作区的数据量,这些工作区总共至少引入 500 GB 的数据。 如需了解更多信息,请参阅专用群集的简化定价层

可以将多个 Microsoft Sentinel 工作区添加到 Log Analytics 专用群集中。 对 Microsoft Sentinel 使用 Log Analytics 专用群集有多种优势,包括:

  • 如果查询中涉及的所有工作区都在专用群集中,则跨工作区查询的运行速度更快。 在你的环境中,最好尽可能少地使用工作区,专用群集仍然限制最多 100 个工作区可以包含在单个跨工作区查询中。

  • 专用群集中的所有工作区都可以共享群集上设置的 Log Analytics 承诺层级。 不必为每个工作区单独承诺 Log Analytics 承诺层级,这样可以节省成本,同时提高效率。 如果启用专用群集,可以每天承诺最低 500 GB 的 Log Analytics 承诺层级。

下面是迁移到专用群集以实现成本优化的一些其他注意事项:

  • 每个区域和每个订阅的群集的最大数目为 2。
  • 链接到群集的所有工作区必须位于同一区域中。
  • 链接到一个群集的最大工作区数量为 1000。
  • 可以取消某个已链接工作区与群集的链接。 在 30 天内,与特定工作区的链接操作数限制为 2。
  • 不能将现有工作区移动到客户托管的密钥 (CMK) 群集。 必须在群集中创建工作区。
  • 当前不支持将群集移到另一个资源组或订阅。
  • 如果工作区已链接到另一个群集,则指向群集的工作区链接将失败。

有关专用群集的详细信息,请参阅 Log Analytics 专用群集

通过长期保留降低数据保留成本

默认情况下,Microsoft Sentinel 在前 90 天以交互形式保留数据。 要调整 Log Analytics 中的数据保留时间段,可在左侧导航中选择“使用量和估计成本”,再选择“数据保留”,然后调整滑块。

在几个月后,Microsoft Sentinel 安全数据可能会丢失其中的某些值。 安全运营中心 (SOC) 用户可能无需像更新的数据一样频繁访问较旧的数据,但在偶尔调查或审核时可能仍需要访问数据。

为帮助降低 Microsoft Sentinel 数据保留成本,Azure Monitor 现在提供长期保留。 脱离交互式保留状态的数据仍然可以保留长达 12 年,成本大大降低,但使用也受到限制。 有关详细信息,请参阅在 Log Analytics 工作区中管理数据保留

为 Windows 安全事件使用数据收集规则

通过 Windows 安全事件连接器,可流式传输来自连接到 Microsoft Sentinel 工作区的任何运行 Windows Server 的计算机(包括物理、虚拟或本地服务器)或任何云中的安全事件。 此连接器包括 Azure Monitor 代理支持,该代理使用数据收集规则来定义要从每个代理收集的数据。

利用数据收集规则可以大规模地管理收集设置,同时还可以为部分计算机进行唯一、局部的配置。 有关详细信息,请参阅为 Azure Monitor 代理配置数据收集

除了可以选择引入的预定义事件集(例如“所有事件”、“最小事件”或“常见事件”)之外,数据收集规则还使你能够生成自定义筛选器并选择要引入的特定事件。 Azure Monitor 代理使用这些规则在数据源中筛选数据,并且仅引入所选事件,对于其他所有内容则不做处理。 选择要引入的特定事件有助于优化成本并节省更多成本。

后续步骤