Hantera och övervaka kostnader för Microsoft Sentinel
När du har börjat använda Microsoft Sentinel-resurser använder du Cost Management-funktioner för att ange budgetar och övervaka kostnader. Du kan också granska prognostiserade kostnader och identifiera utgiftstrender för att identifiera områden där du kanske vill agera.
Kostnader för Microsoft Sentinel är bara en del av de månatliga kostnaderna i din Azure-faktura. Även om den här artikeln förklarar hur du hanterar och övervakar kostnader för Microsoft Sentinel debiteras du för alla Azure-tjänster och resurser som din Azure-prenumeration använder, inklusive partnertjänster.
Viktigt!
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
Om du vill visa kostnadsdata och utföra kostnadsanalys i Cost Management måste du ha en Azure-kontotyp som stöds med minst läsbehörighet.
Kostnadsanalys i Cost Management stöder de flesta Typer av Azure-konton, men alla stöds inte. Om du vill se hela listan med kontotyper som stöds kan du läsa Förstå Cost Management-data.
Information om hur du tilldelar åtkomst till Microsoft Cost Management-data finns i Tilldela åtkomst till data.
Visa kostnader med hjälp av kostnadsanalys
När du använder Azure-resurser med Microsoft Sentinel medför du kostnader. Kostnaderna för Resursanvändningsenhet i Azure varierar beroende på tidsintervall, till exempel sekunder, minuter, timmar och dagar, eller efter enhetsanvändning, t.ex. byte och megabyte. Så snart Microsoft Sentinel börjar analysera fakturerbara data medför det kostnader. Visa dessa kostnader med hjälp av kostnadsanalys i Azure Portal. Mer information finns i Börja använda kostnadsanalys.
När du använder kostnadsanalys visar du Microsoft Sentinel-kostnader i grafer och tabeller för olika tidsintervall. Några exempel är efter dag, aktuell och föregående månad och år. Du kan också visa kostnader mot budgetar och prognostiserade kostnader. Om du byter till längre vyer över tid kan du identifiera utgiftstrender. Och du ser var överförbrukning kan ha inträffat. Om du har skapat budgetar kan du också enkelt se var de överskrids.
Microsoft Cost Management + Billing Hub tillhandahåller användbara funktioner. När du har öppnat Cost Management + Fakturering i Azure Portal väljer du Cost Management i det vänstra navigeringsfältet och väljer sedan det omfång eller den uppsättning resurser som ska undersökas, till exempel en Azure-prenumeration eller resursgrupp.
Skärmen Kostnadsanalys visar detaljerade vyer av din Azure-användning och dina kostnader, med möjlighet att tillämpa olika kontroller och filter.
Om du till exempel vill se diagram över dina dagliga kostnader under en viss tidsperiod:
Välj listrutan i fältet Visa och välj Ackumulerade kostnader eller Dagliga kostnader.
Välj listrutan i datumfältet och välj ett datumintervall.
Välj listrutan caret bredvid Granularity och välj Dagligen.
Kostnaderna som visas i följande bild är endast i exempelsyfte. De är inte avsedda att återspegla faktiska kostnader.
Du kan också använda ytterligare kontroller. Om du till exempel bara vill visa de kostnader som är associerade med Microsoft Sentinel väljer du Lägg till filter, väljer Tjänstnamn och sedan tjänstnamnen Sentinel, Log Analytics och Azure Monitor.
Microsoft Sentinel-datainmatningsvolymer visas under Security Insights i vissa portalanvändningsdiagram .
De klassiska prisnivåerna i Microsoft Sentinel inkluderar inte Log Analytics-avgifter, så du kan se att dessa avgifter debiteras separat. Med förenklad prissättning i Microsoft Sentinel kombineras de två kostnaderna till en uppsättning nivåer. Mer information om Microsoft Sentinels förenklade prisnivåer finns i Förenklade prisnivåer.
Mer information om hur du minskar kostnaderna finns i Skapa budgetar och Minska kostnader i Microsoft Sentinel.
Använda Azure-förskottsbetalning med Microsoft Sentinel
Du kan betala för Microsoft Sentinel-avgifter med din Azure-förskottsbetalningskredit. Du kan dock inte använda Azure-förskottsbetalningskredit för att betala fakturor till icke-Microsoft-organisationer för deras produkter och tjänster eller för produkter från Azure Marketplace.
Köra frågor för att förstå datainmatningen
Microsoft Sentinel använder ett omfattande frågespråk för att analysera, interagera med och härleda insikter från enorma mängder driftdata på några sekunder. Här är några Kusto-frågor som du kan använda för att förstå din datainmatningsvolym.
Kör följande fråga för att visa datainmatningsvolymen efter lösning:
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart
Kör följande fråga för att visa datainmatningsvolymen efter datatyp:
Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart
Kör följande fråga för att visa datainmatningsvolymen efter både lösning och datatyp:
Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iif(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc
Distribuera en arbetsbok för att visualisera datainmatning
Arbetsytans användningsrapportarbetsbok innehåller arbetsytans dataförbrukning, kostnad och användningsstatistik. Arbetsboken ger arbetsytans datainmatningsstatus och mängden kostnadsfria och fakturerbara data. Du kan använda arbetsbokslogik för att övervaka datainmatning och kostnader samt för att skapa anpassade vyer och regelbaserade aviseringar.
Den här arbetsboken innehåller också detaljerad information om inmatning. Arbetsboken delar upp data i din arbetsyta efter datatabell och tillhandahåller volymer per tabell och post som hjälper dig att bättre förstå dina inmatningsmönster.
Så här aktiverar du arbetsytans arbetsbok för användningsrapport:
- I det vänstra navigeringsfönstret i Microsoft Sentinel väljer du Arbetsböcker för hothantering>.
- Ange användning av arbetsytor i sökfältet och välj sedan Användningsrapport för arbetsyta.
- Välj Visa mall för att använda arbetsboken som den är eller välj Spara för att skapa en redigerbar kopia av arbetsboken. Om du sparar en kopia väljer du Visa sparad arbetsbok.
- I arbetsboken väljer du den prenumeration och arbetsyta som du vill visa och ställer sedan in TimeRange till den tidsram som du vill se. Du kan ange växlingsknappen Visa hjälp till Ja för att visa förklaringar på plats i arbetsboken.
Exportera kostnadsdata
Du kan också exportera dina kostnadsdata till ett lagringskonto. Att exportera kostnadsdata är användbart när du behöver eller andra för att göra mer dataanalys för kostnader. Ett ekonomiteam kan till exempel analysera data med excel eller Power BI. Du kan exportera dina kostnader enligt ett dagligt, vecko- eller månadsschema och ange ett anpassat datumintervall. Att exportera kostnadsdata är det rekommenderade sättet att hämta kostnadsdatauppsättningar.
Skapa budgetar
Du kan skapa budgetar för att hantera kostnader och skapa aviseringar som automatiskt meddelar mottagarna om kostnadsavvikelser och risker för överförbrukning. Aviseringar baseras på utgifter jämfört med budget- och kostnadströsklar. Budgetar och aviseringar skapas för Azure-prenumerationer och resursgrupper, så de är användbara som en del av en övergripande strategi för kostnadsövervakning.
Du kan skapa budgetar med filter för specifika resurser eller tjänster i Azure om du vill ha mer detaljerad information i din övervakning. Filter hjälper dig att se till att du inte oavsiktligt skapar nya resurser som kostar dig mer pengar. Mer information om de filteralternativ som är tillgängliga när du skapar en budget finns i Grupp- och filteralternativ.
Använda en spelbok för kostnadshanteringsaviseringar
För att hjälpa dig att kontrollera din Microsoft Sentinel-budget kan du skapa en spelbok för kostnadshantering. Spelboken skickar en avisering om din Microsoft Sentinel-arbetsyta överskrider en budget som du definierar inom en viss tidsram.
Microsoft Sentinel GitHub-communityn Send-IngestionCostAlert
tillhandahåller spelboken för kostnadshantering på GitHub. Den här spelboken aktiveras av en upprepningsutlösare och ger dig en hög flexibilitetsnivå. Du kan styra körningsfrekvensen, inmatningsvolymen och meddelandet som ska utlösas baserat på dina krav.
Definiera ett tak för datavolymen i Log Analytics
I Log Analytics kan du aktivera ett dagligt volymtak som begränsar den dagliga inmatningen för din arbetsyta. Det dagliga taket kan hjälpa dig att hantera oväntade ökningar av datavolymen, hålla dig inom din gräns och begränsa oplanerade avgifter.
Om du vill definiera ett dagligt volymtak väljer du Användning och uppskattade kostnader i det vänstra navigeringsfältet på Log Analytics-arbetsytan och väljer sedan Dagligt tak. Välj På, ange ett dagligt volymtak och välj sedan OK.
Skärmen Användning och uppskattade kostnader visar också trenden för inmatade datavolymer under de senaste 31 dagarna och den totala behållna datavolymen.
Mer information finns i Ange dagligt tak på Log Analytics-arbetsytan.
Nästa steg
- Minska kostnaderna för Microsoft Sentinel
- Lär dig hur du optimerar din molninvestering med Microsoft Cost Management.
- Läs mer om att hantera kostnader med kostnadsanalys.
- Lär dig hur du förhindrar oväntade kostnader.
- Gå den guidade utbildningskursen för Cost Management .
- Fler tips om hur du minskar Log Analytics-datavolymen finns i Metodtips för Azure Monitor – Kostnadshantering.