Microsoft Sentinel maliyetlerini azaltma
Microsoft Sentinel maliyetleri, Azure faturanızdaki aylık maliyetlerin yalnızca bir kısmıdır. Bu makalede Microsoft Sentinel maliyetlerinin nasıl azaltılmaya başlandığı açıklansa da, İş ortağı hizmetleri de dahil olmak üzere Azure aboneliğinizin kullandığı tüm Azure hizmetleri ve kaynakları için faturalandırılırsınız.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Fiyatlandırma katmanını ayarlama veya değiştirme
En yüksek tasarruf için en iyi duruma getirmek için, alım hacminizi izleyerek alım hacmi desenlerinizle en yakın uyumu sağlayan Taahhüt Katmanına sahip olduğunuzdan emin olun. Değişen veri hacimleriyle uyumlu olması için Taahhüt Katmanınızı artırmayı veya azaltmayı göz önünde bulundurun.
31 günlük taahhüt süresini yeniden başlatan Taahhüt Katmanınızı istediğiniz zaman artırabilirsiniz. Ancak Kullandıkça Öde veya daha düşük bir Taahhüt Katmanına geri dönmek için 31 günlük taahhüt süresi bitene kadar beklemeniz gerekir. Taahhüt Katmanları için faturalama günlük olarak yapılır.
Geçerli Microsoft Sentinel fiyatlandırma katmanınızı görmek için Microsoft Sentinel sol gezinti bölmesinde Ayarlar'ı ve ardından Fiyatlandırma sekmesini seçin. Geçerli fiyatlandırma katmanınız Geçerli katman olarak işaretlenir.
Fiyatlandırma katmanı taahhüdünüzü değiştirmek için fiyatlandırma sayfasındaki diğer katmanlardan birini seçin ve ardından Uygula'yı seçin. Fiyatlandırma katmanını değiştirmek için Microsoft Sentinel çalışma alanında Katkıda Bulunan veya Sahip olmanız gerekir.
Maliyetlerinizi izleme hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel maliyetlerini yönetme ve izleme.
Klasik fiyatlandırma katmanlarını kullanmaya devam eden çalışma alanları için Microsoft Sentinel fiyatlandırma katmanları Log Analytics ücretlerini içermez. Daha fazla bilgi için bkz . Basitleştirilmiş fiyatlandırma katmanları.
Ön satın alma planı satın alma
Microsoft Sentinel işleme birimlerini (CU) önceden satın aldığınızda Microsoft Sentinel maliyetlerinizden tasarruf edin. Bir yıllık satın alma dönemi boyunca herhangi bir zamanda önceden satın alınan CU'ları kullanın.
Uygun Microsoft Sentinel maliyetleri ilk olarak önceden satın alınan CU'lardan otomatik olarak düşülür. Satın alma öncesi indirimleri almak için CU kullanımı için Microsoft Sentinel çalışma alanlarınıza önceden satın alınmış bir planı yeniden dağıtmanız veya atamanız gerekmez.
Daha fazla bilgi için bkz . Microsoft Sentinel maliyetlerini satın alma öncesi planla iyileştirme.
Farklı bir çalışma alanında güvenlikle ilgili olmayan verileri ayırma
Microsoft Sentinel, Microsoft Sentinel özellikli Log Analytics çalışma alanlarına alınan tüm verileri analiz eder. Microsoft Sentinel maliyetlerine yol açmadığından emin olmak için güvenlikle ilgili olmayan işlem verileri için ayrı bir çalışma alanı olması en iyisidir.
Microsoft Sentinel'de tehditleri avlarken veya araştırırken, bu tek başına Azure Log Analytics çalışma alanlarında depolanan işletimsel verilere erişmeniz gerekebilir. Günlük araştırma deneyiminde ve çalışma kitaplarında çalışma alanları arası sorgulamayı kullanarak bu verilere erişebilirsiniz. Ancak, Microsoft Sentinel tüm çalışma alanlarında etkinleştirilmediği sürece çalışma alanları arası analiz kurallarını ve tehdit avcılığı sorgularını kullanamazsınız.
Yüksek hacimli, düşük değerli veriler için düşük maliyetli günlük türlerini seçin
Standart analiz günlükleri sürekli, gerçek zamanlı tehdit algılama için en uygun olsa da, temel günlükler ve yardımcı günlükler olmak üzere diğer iki günlük türü, sık ihtiyaç duyulmadan veya isteğe bağlı olarak erişilmeyen ayrıntılı, yüksek hacimli, düşük değerli günlükleri geçici olarak sorgulamak ve aramak için daha uygundur. Uygun veri tabloları için önemli ölçüde daha düşük maliyetle temel günlük verileri alımını veya yardımcı günlük verilerinin alımını (şimdi Önizleme aşamasındadır) daha düşük bir maliyetle etkinleştirin. Daha fazla bilgi için bkz . Microsoft Sentinel Fiyatlandırması.
- Microsoft Sentinel'de günlük saklama planları
- Yardımcı Günlük alımı için kullanılacak günlük kaynakları
Ayrılmış kümelerle Log Analytics maliyetlerini iyileştirme
Microsoft Sentinel çalışma alanınıza veya aynı bölgedeki çalışma alanlarına en az 100 GB alırsanız maliyetleri azaltmak için Log Analytics ayrılmış kümesine geçmeyi göz önünde bulundurun. Log Analytics ayrılmış kümesi Taahhüt Katmanı, toplam 100 GB veya daha fazlasını toplu olarak alan çalışma alanları genelinde veri hacmini toplar. Daha fazla bilgi için bkz . Ayrılmış küme için basitleştirilmiş fiyatlandırma katmanı.
Log Analytics ayrılmış kümesine birden çok Microsoft Sentinel çalışma alanı ekleyebilirsiniz. Microsoft Sentinel için Log Analytics ayrılmış kümesi kullanmanın birkaç avantajı vardır:
Sorguda yer alan tüm çalışma alanları ayrılmış kümedeyse çalışma alanları arası sorgular daha hızlı çalışır. Ortamınızda mümkün olduğunca az çalışma alanı olması en iyisidir ve ayrılmış bir küme, tek bir çalışma alanları arası sorguya dahil etmek için 100 çalışma alanı sınırını korur.
Ayrılmış kümedeki tüm çalışma alanları, kümedeki Log Analytics Taahhüt Katmanı kümesini paylaşabilir. Her çalışma alanı için ayrı Log Analytics Taahhüt Katmanları taahhüt etmek zorunda kalmak maliyet tasarrufu ve verimlilik sağlayabilir. Ayrılmış bir kümeyi etkinleştirerek günlük 100 GB'lık en düşük Log Analytics Taahhüdü Katmanına taahhüt vermiş olursunuz.
Maliyet iyileştirme için ayrılmış bir kümeye geçme konusunda dikkat edilmesi gereken diğer bazı noktalar şunlardır:
- Bölge ve abonelik başına küme sayısı üst sınırı ikidir.
- Bir kümeye bağlı tüm çalışma alanları aynı bölgede olmalıdır.
- Bir kümeye bağlı çalışma alanı sayısı üst sınırı 1000'dir.
- Bağlı bir çalışma alanının kümenizin bağlantısını kaldırabilirsiniz. Belirli bir çalışma alanında 30 günlük bir süre içinde bağlantı işlemlerinin sayısı iki ile sınırlıdır.
- Mevcut bir çalışma alanını müşteri tarafından yönetilen anahtar (CMK) kümesine taşıyamazsınız. Çalışma alanını kümede oluşturmanız gerekir.
- Kümeyi başka bir kaynak grubuna veya aboneliğe taşıma şu anda desteklenmiyor.
- Çalışma alanı başka bir kümeye bağlıysa bir kümeye çalışma alanı bağlantısı başarısız olur.
Ayrılmış kümeler hakkında daha fazla bilgi için bkz . Log Analytics ayrılmış kümeleri.
Uzun süreli saklama ile veri saklama maliyetlerini azaltma
Microsoft Sentinel, ilk 90 gün boyunca verileri varsayılan olarak etkileşimli biçimde tutar. Log Analytics'te veri saklama süresini ayarlamak için sol gezinti bölmesinde Kullanım ve tahmini maliyetler'i seçin, ardından Veri saklama'yı seçin ve kaydırıcıyı ayarlayın.
Microsoft Sentinel güvenlik verileri birkaç ay sonra değerinin bir kısmını kaybedebilir. Güvenlik operasyonları merkezi (SOC) kullanıcılarının eski verilere daha yeni veriler kadar sık erişmesi gerekmeyebilir, ancak yine de rastgele araştırma veya denetim amacıyla verilere erişmesi gerekebilir.
Microsoft Sentinel veri saklama maliyetlerini azaltmanıza yardımcı olmak için Azure İzleyici artık uzun süreli saklama olanağı sunuyor. Etkileşimli saklama durumundan eski veriler, çok daha düşük bir maliyetle ve kullanım sınırlamalarıyla on iki yıla kadar saklanabilir. Daha fazla bilgi için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.
İkincil güvenlik verileri içeren tabloları Yardımcı günlükler planına kaydederek maliyetleri daha da düşürebilirsiniz (artık Önizleme aşamasındadır). Bu plan, özetleme ve temel sorgulamaya olanak sağlamak için yüksek hacimli, düşük değerli günlükleri en başta daha düşük maliyetli 30 günlük etkileşimli saklama süresiyle düşük bir fiyata depolamanıza olanak tanır. Yardımcı günlükler planı ve diğer planlar hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'de günlük saklama planları. Yardımcı günlükler planı Önizleme'de kalırken, bu tabloları Temel günlükler planına kaydetme seçeneğiniz de vardır. Temel günlükler yardımcı günlüklere benzer işlevler sunar, ancak maliyet tasarrufundan daha azdır.
Windows Güvenliği Olaylarınız için veri toplama kurallarını kullanma
Windows Güvenliği Olayları bağlayıcısı, fiziksel, sanal veya şirket içi sunucular da dahil olmak üzere Microsoft Sentinel çalışma alanınıza bağlı Windows Server çalıştıran herhangi bir bilgisayardan ya da herhangi bir buluttaki güvenlik olaylarının akışını sağlamanızı sağlar. Bu bağlayıcı, her aracıdan toplayacak verileri tanımlamak için veri toplama kurallarını kullanan Azure İzleyici Aracısı desteğini içerir.
Veri toplama kuralları, koleksiyon ayarlarını büyük ölçekte yönetmenize olanak tanırken, makinelerin alt kümeleri için benzersiz, kapsamlı yapılandırmalara izin verir. Daha fazla bilgi için bkz . Azure İzleyici Aracısı için veri toplamayı yapılandırma.
Tüm olaylar, En Az veya Ortak gibi almak için seçebileceğiniz önceden tanımlanmış olay kümelerinin yanı sıra, veri toplama kuralları özel filtreler oluşturmanıza ve alınması gereken belirli olayları seçmenize olanak tanır. Azure İzleyici Aracısı bu kuralları kullanarak kaynakta verileri filtreler ve ardından yalnızca seçtiğiniz olayları alır ve diğer her şeyi geride bırakır. Almak için belirli olayları seçmek maliyetlerinizi iyileştirmenize ve daha fazla tasarruf etmenizi sağlayabilir.
Sonraki adımlar
- Microsoft Maliyet Yönetimi ile bulut yatırımınızı iyileştirmeyi öğrenin.
- Maliyet analizi ile maliyetleri yönetme hakkında daha fazla bilgi edinin.
- Beklenmeyen maliyetleri önleme hakkında bilgi edinin.
- Maliyet Yönetimi destekli öğrenme kursuna katılın.
- Log Analytics veri hacmini azaltma hakkında daha fazla ipucu için bkz . Azure İzleyici en iyi yöntemleri - Maliyet yönetimi.