Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Omkostninger for Microsoft Sentinel er kun en del af de månedlige omkostninger i din Azure faktura. Selvom denne artikel forklarer, hvordan du reducerer omkostningerne for Microsoft Sentinel, faktureres du for alle Azure tjenester og ressourcer, som dit Azure abonnement bruger, herunder partnertjenester.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Angiv eller skift prisniveau
Hvis du vil optimere til de højeste besparelser, skal du overvåge din indtagelsesmængde for at sikre, at du har det bindingsniveau, der er tættest på dine forbrugsvolumenmønstre. Overvej at øge eller mindske dit forpligtelsesniveau for at justere med ændrede datamængder.
Du kan når som helst øge dit forpligtelsesniveau, hvilket genstarter den 31-dages forpligtelsesperiode. Hvis du vil gå tilbage til betaling efter forbrug eller til et lavere forpligtelsesniveau, skal du dog vente, indtil den 31-dages forpligtelsesperiode er afsluttet. Fakturering for forpligtelsesniveauer sker dagligt.
Hvis du vil se dit aktuelle Microsoft Sentinel prisniveau, skal du vælge Indstillinger i Microsoft Sentinel venstre navigationsrude og derefter vælge fanen Prisfastsættelse. Dit aktuelle prisniveau er markeret som Aktuelt niveau.
Hvis du vil ændre din forpligtelse på prisniveauet, skal du vælge et af de andre niveauer på siden med priser og derefter vælge Anvend. Du skal have Bidragyder eller Ejer, for at Microsoft Sentinel arbejdsområdet kan ændre prisniveauet.
Hvis du vil vide mere om, hvordan du overvåger dine omkostninger, skal du se Administrer og overvåg omkostninger for Microsoft Sentinel.
For arbejdsområder, der stadig bruger klassiske prisniveauer, inkluderer de Microsoft Sentinel prisniveauer ikke Log Analytics-gebyrer. Du kan få flere oplysninger under Forstå den fulde faktureringsmodel for Microsoft Sentinel.
Køb en plan før køb
Spar på omkostningerne på dit Microsoft Sentinel analyseniveau, når du køber Microsoft Sentinel bekræftelsesenheder på forhånd. Brug de forudkøbte CU'er når som helst i løbet af købsperioden på ét år.
Alle berettigede Microsoft Sentinel omkostninger trækkes først automatisk fra de forudkøbte CU'er. Du behøver ikke at geninstallere eller tildele en forudkøbt plan til dine Microsoft Sentinel arbejdsområder for cu-forbruget for at få rabatter før køb.
Du kan få flere oplysninger under Optimer Microsoft Sentinel omkostninger med en plan før køb.
Adskil ikke-sikkerhedsrelaterede data i et andet arbejdsområde
Microsoft Sentinel analyserer alle de data, der er indtaget i Microsoft Sentinel-aktiverede Log Analytics-arbejdsområder. Det er bedst at have et separat arbejdsområde til ikke-sikkerhedsrelaterede handlingsdata for at sikre, at det ikke medfører Microsoft Sentinel omkostninger.
Brug den Microsoft Sentinel datasø til lavere pålidelighed eller sekundære sikkerhedsdata
Selvom analyseniveauet er mest hensigtsmæssigt til løbende trusselsregistrering i realtid, er den Microsoft Sentinel datasø velegnet til forespørgsler og analyser af sekundære sikkerhedsdata, der ikke er nødvendige til trusselsregistrering i realtid. Microsoft Sentinel data lake tilbyder indtagelse og lagring til en betydeligt reduceret pris. Du kan finde flere oplysninger under Microsoft Sentinel Priser.
Optimer Log Analytics-omkostninger med dedikerede klynger
Hvis du indtager mindst 100 GB i dit Microsoft Sentinel arbejdsområde eller arbejdsområder i det samme område, kan du overveje at flytte til en dedikeret Log Analytics-klynge for at reducere omkostningerne. Et dedikeret Log Analytics-klyngebindingsniveau samler datamængden på tværs af arbejdsområder, der samlet indtager i alt 100 GB eller mere. Du kan finde flere oplysninger under Forenklet prisniveau for dedikeret klynge.
Du kan føje flere Microsoft Sentinel arbejdsområder til en dedikeret Log Analytics-klynge. Der er et par fordele ved at bruge en dedikeret Log Analytics-klynge til Microsoft Sentinel:
Forespørgsler på tværs af arbejdsområder kører hurtigere, hvis alle de arbejdsområder, der er involveret i forespørgslen, er i den dedikerede klynge. Det er stadig bedst at have så få arbejdsområder som muligt i dit miljø, og en dedikeret klynge bevarer stadig grænsen på 100 arbejdsområder for medtagelse i en enkelt forespørgsel på tværs af arbejdsområder.
Alle arbejdsområder i den dedikerede klynge kan dele det Log Analytics-forpligtelsesniveau, der er angivet for klyngen. Hvis du ikke behøver at bekræfte separate Log Analytics-bindingsniveauer for hvert arbejdsområde, kan det give omkostningsbesparelser og effektivitet. Når du aktiverer en dedikeret klynge, forpligter du dig til et minimumniveau for Log Analytics-binding på 100 GB indtagelse pr. dag.
Her er nogle andre overvejelser i forbindelse med flytning til en dedikeret klynge med henblik på omkostningsoptimering:
- Det maksimale antal klynger pr. område og abonnement er to.
- Alle arbejdsområder, der er knyttet til en klynge, skal være i det samme område.
- Det maksimale antal arbejdsområder, der er knyttet til en klynge, er 1000.
- Du kan fjerne sammenkædningen af et sammenkædet arbejdsområde fra din klynge. Antallet af linkhandlinger i et bestemt arbejdsområde er begrænset til to i en periode på 30 dage.
- Du kan ikke flytte et eksisterende arbejdsområde til en CMK-klynge (customer managed key). Du skal oprette arbejdsområdet i klyngen.
- Flytning af en klynge til en anden ressourcegruppe eller et andet abonnement understøttes ikke i øjeblikket.
- Et arbejdsområdelink til en klynge mislykkes, hvis arbejdsområdet er knyttet til en anden klynge.
Du kan få flere oplysninger om dedikerede klynger under Dedikerede Log Analytics-klynger.
Reducer dataopbevaringsomkostninger med samlet opbevaring
Microsoft Sentinel bevarer data på analyseniveau som standard for de første 90 dage i analyseopbevaring. I takt med at dataene bliver ældre, mister de værdien for analyse og undersøgelse i realtid. SOC-brugere (Security Operations Center) har muligvis ikke adgang til ældre data så ofte, men ønsker stadig at få adgang til dataene til bredere historiske undersøgelser eller overvågningsformål. For at hjælpe dig med at reducere Microsoft Sentinel dataopbevaringsomkostninger er samlet opbevaring tilgængelig. Data, der udældes fra sin analyseopbevaringstilstand, kan stadig bevares til en meget reduceret pris og tilgås ved hjælp af udforskningsfunktioner til datasøer. Du kan få flere oplysninger under Udforskning af søen, KQL-forespørgsler.
Brug dataadministrationstabeller > til at justere analyse- og samlet opbevaringsperiode.
Brug regler for dataindsamling til dine Windows Sikkerhed-hændelser
Med Windows Sikkerhed Events-connectoren kan du streame sikkerhedshændelser fra alle computere, der kører Windows Server, som har forbindelse til dit Microsoft Sentinel arbejdsområde, herunder fysiske, virtuelle eller lokale servere eller i et hvilket som helst cloudmiljø. Denne connector omfatter understøttelse af Azure Monitor Agent, som bruger regler for dataindsamling til at definere de data, der skal indsamles fra hver agent.
Regler for dataindsamling giver dig mulighed for at administrere indstillinger for indsamling i stor skala, samtidig med at der stadig tillades entydige konfigurationer, der er begrænset til undersæt af maskiner. Du kan få flere oplysninger under Konfigurer dataindsamling for Azure Monitor Agent.
Ud over for de foruddefinerede sæt af hændelser, som du kan vælge at indtage, f.eks. Alle hændelser, Minimal eller Fælles, giver regler for dataindsamling dig mulighed for at oprette brugerdefinerede filtre og vælge bestemte hændelser til indfødning. Den Azure Monitor Agent bruger disse regler til at filtrere dataene i kilden og derefter kun overføre de valgte hændelser, mens alt andet efterlades. Hvis du vælger bestemte hændelser til indfødning, kan det hjælpe dig med at optimere dine omkostninger og spare mere.
Næste trin
- Få mere at vide om , hvordan du optimerer din cloudinvestering med Microsoft Cost Management.
- Få mere at vide om administration af omkostninger med omkostningsanalyse.
- Få mere at vide om, hvordan du forhindrer uventede omkostninger.
- Tag kurset Omkostningsstyring med vejledning.
- Du kan få flere tip til reduktion af mængden af Log Analytics-data under Azure Overvåg bedste fremgangsmåder – Omkostningsstyring.
- Du kan få mere at vide om Microsoft Sentinel datasø under Microsoft Sentinel datasø.
- Hvis du vil onboarde til Microsoft Sentinel datasø, skal du se Onboard data to Microsoft Sentinel data lake.