Microsoft Sentinel のコストを削減する
Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストを削減する方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースに対して行われます。
重要
Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
価格レベルを設定または変更します
節約が最大になるように最適化するには、インジェスト量を監視して、インジェスト量のパターンと最もよく一致するコミットメント レベルを使用するようにします。 コミットメント レベルを増加または減少させて、データ量の変化に合わように調整できます。
いつでもコミットメント レベルを増やすことができ、31 日間のコミットメント期間が再開されます。 ただし、従量課金制またはより低いコミットメント レベルに戻すには、31 日のコミットメント期間が終了するまで待つ必要があります。 コミットメント レベルに対する課金は 1 日単位です。
Microsoft Sentinel の現在の価格レベルを確認するには、Microsoft Sentinel の左側のナビゲーションで [設定] を選択してから、 [価格] タブを選択します。現在の価格レベルには、 [現在のレベル] と表示されます。
価格レベルのコミットメントを変更するには、価格ページで他のいずれかのレベルを選択して、 [適用] を選択します。 価格レベルを変更するには、Microsoft Sentinel ワークスペースの共同作成者または所有者が必要です。
コストを監視する方法の詳細については、「Microsoft Sentinel のコストを管理および監視する」をご覧ください。
従来の価格レベルを引き続き使用しているワークスペースの場合、Microsoft Sentinel の価格レベルに Log Analytics 料金は含まれません。 詳細については、「簡略化された通貨による価格」をご覧ください。
セキュリティ以外のデータを別のワークスペースに分離する
Microsoft Sentinel により、Microsoft Sentinel が有効な Log Analytics ワークスペースに取り込まれたすべてのデータが分析されます。 セキュリティ以外の運用データ用に別のワークスペースを用意し、Microsoft Sentinel のコストが発生しないようにするのが最善です。
Microsoft Sentinel で脅威をハンティングまたは調査するときは、これらのスタンドアロン Azure Log Analytics ワークスペースに格納されている運用データにアクセスすることが必要な場合があります。 このデータには、ログ探索エクスペリエンスとブックでクロスワークスペース クエリを使用してアクセスできます。 ただし、すべてのワークスペースで Microsoft Sentinel が有効になっていない限り、クロスワークスペースの分析ルールとハンティング クエリは使用できません。
大量で価値の低いデータに対して低コストのログの種類を選択する
標準の分析ログは継続的なリアルタイムの脅威検出に最も適していますが、他の 2 つのログの種類 (基本ログと補助ログ) は、頻繁に必要とされない、またはオンデマンドでアクセスされない、冗長、大量で価値の低いログのアドホックなクエリと検索に適しています。 対象となるデータ テーブルに対して、大幅にコストを削減して基本ログのデータ インジェストを有効にするか、さらに低いコストで補助ログのデータ インジェスト (現在プレビュー段階) を有効にします。 詳細については、「Microsoft Sentinel の価格」を参照してください。
専用クラスターを使用して Log Analytics のコストを最適化する
少なくとも 500 GB を同じリージョン内の 1 つまたは複数の Microsoft Sentinel ワークスペースに取り込む場合は、コストを削減するために Log Analytics 専用クラスターへの移行を検討してください。 Log Analytics 専用クラスターのコミットメント レベルにより、まとめると合計 500 GB 以上を取り込むすべてのワークスペースのデータ量が集約されます。 詳細については、「専用クラスターの簡略化された価格レベル」を参照してください。
複数の Microsoft Sentinel ワークスペースを Log Analytics 専用クラスターに追加できます。 Microsoft Sentinel に Log Analytics 専用クラスターを使用すると、次のような利点があります。
クエリに含まれるすべてのワークスペースが専用クラスター内にある場合、クロスワークスペース クエリの実行速度が向上します。 それでも、環境内のワークスペースは可能な限り少なくするのが最善であり、専用クラスターで 1 つのクロスワークスペース クエリに含めることができるワークスペースには 100 の制限がやはりあります。
専用クラスター内のすべてのワークスペースで、クラスターに設定されている Log Analytics コミットメント レベルを共有できます。 ワークスペースごとに個別の Log Analytics コミットメント レベルにコミットする必要がないと、コストを削減して効率化できます。 専用クラスターを有効にすると、1 日あたり 500 GB のインジェストの最小 Log Analytics コミットメント レベルにコミットすることになります。
コストの最適化のために専用クラスターに移行する場合の、その他の考慮事項を次に示します。
- リージョンおよびサブスクリプションごとのクラスターの最大数は 2 です。
- クラスターにリンクされているすべてのワークスペースは、同じリージョンに存在する必要があります。
- クラスターにリンクされるワークスペースの最大数は 1000 です。
- クラスターからリンクされたワークスペースのリンクを解除することができます。 特定のワークスペースでのリンク操作の回数は、30 日間に 2 回に制限されます。
- 既存のワークスペースをカスタマー マネージド キー (CMK) クラスターに移動することはできません。 クラスター内にワークスペースを作成する必要があります。
- 別のリソース グループまたはサブスクリプションへのクラスターの移動は、現時点ではサポートされていません。
- ワークスペースが別のクラスターにリンクされている場合、クラスターへのワークスペースのリンクは失敗します。
専用クラスターの詳細については、「Log Analytics 専用クラスター」を参照してください。
長期保有でデータ保持コストを削減する
Microsoft Sentinel では、既定で最初の 90 日間、対話型の形式でデータが保持されます。 Log Analytics でデータ保持期間を調整するには、左側のナビゲーションで [使用とコストの見積もり] を選択してから、[データ保持] を選択し、スライダーを調整します。
Microsoft Sentinel のセキュリティ データの価値は、数か月後には多少失われる可能性があります。 セキュリティ オペレーション センター (SOC) のユーザーは、古いデータには新しいデータほど頻繁にアクセスする必要がない場合がありますが、それでも散発的な調査や監査のためにデータにアクセスすることが必要になる場合があります。
Microsoft Sentinel のデータ保持コストを削減できるように、Azure Monitor では長期保有を提供するようになりました。 対話型の保持状態から期間を過ぎたデータは、大幅にコストを削減し、使用制限付きで最大 12 年間保持できます。 詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。
セカンダリ セキュリティ データを含むテーブルを補助ログ プラン (現在プレビュー段階) に登録すると、コストをさらに削減できます。 このプランでは、大量の価値の低いログを低価格で格納でき、最初の 30 日間は対話型の保持期間を低コストで、集計と基本的なクエリを行うことができます。 補助ログ プランやその他のプランの詳細については、「Microsoft Sentinel のログ保持プラン」を参照してください。 補助ログ プランがプレビュー段階である間、これらのテーブルを基本ログ プランに登録するオプションもあります。 基本ログは補助ログと同様の機能を提供しますが、コスト削減は小さくなります。
Windows セキュリティ イベントにデータ収集ルールを使用する
Windows セキュリティ イベント コネクタを使用すると、Windows Server が実行されていて、Microsoft Sentinel ワークスペースに接続されている任意のコンピューター (物理サーバー、仮想サーバー、オンプレミス サーバー、任意のクラウド内など) から、セキュリティ イベントをストリーミングできます。 このコネクタによってサポートされている Azure Monitor エージェントでは、データ収集ルールを使用して、各エージェントから収集するデータが定義されています。
データ収集ルールにより、大規模な収集設定の管理が可能になる一方、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 詳細については、「Azure Monitor エージェント用のデータ収集の構成」を参照してください。
すべてのイベント、最小、共通など、あらかじめ定義されているイベントのセットを選択して取り込むこともできますが、データ収集ルールを使用すると、カスタム フィルターを作成して、取り込む特定のイベントを選択することができます。 Azure Monitor エージェントにより、これらのルールを使用してソースのデータがフィルター処理されてから、選択したイベントだけが取り込まれ、その他はすべて残されます。 特定のイベントを選択して取り込むと、コストを最適化し、いっそう節約するのに役立ちます。
次のステップ
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用してコストを管理する方法について詳細に説明します。
- 予期しないコストを回避する方法について説明します。
- Cost Management のガイド付き学習コースを受講します。
- Log Analyticsのデータ量を減らすためのその他のヒントについては、Azure Monitorのコスト管理のベストプラクティスに関するページを参照してください。