Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kosten für Microsoft Sentinel sind nur ein Teil der monatlichen Kosten in Ihrer Azure Rechnung. In diesem Artikel wird zwar erläutert, wie Sie die Kosten für Microsoft Sentinel senken können, ihnen werden jedoch alle Azure Dienste und Ressourcen in Rechnung gestellt, die Ihr Azure Abonnement verwendet, einschließlich Partnerdienste.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Festlegen oder Ändern des Tarifs
Überwachen Sie ihr Erfassungsvolumen, um die größtmöglichen Einsparungen zu erzielen, und stellen Sie sicher, dass Sie über die Mindestabnahme verfügen, die ihren Erfassungsvolumenmustern am ehesten entspricht. Erwägen Sie eine Erhöhung oder Verringerung Ihrer Verpflichtungsebene, um sich an sich ändernden Datenvolumes anzupassen.
Sie können Ihren Verpflichtungstarif jederzeit erhöhen, wodurch der 31-tägige Verpflichtungszeitraum neu gestartet wird. Um jedoch wieder zur nutzungsbasierten Bezahlung oder zu einer niedrigeren Mindestabnahme zu wechseln, müssen Sie warten, bis der 31-tägige Verpflichtungszeitraum abgeschlossen ist. Die Abrechnung für Mindestabnahmen erfolgt täglich.
Um Ihren aktuellen Microsoft Sentinel Tarif anzuzeigen, wählen Sie im Microsoft Sentinel linken Navigationsbereich Einstellungen und dann die Registerkarte Preise aus. Ihr aktueller Tarif ist als Aktueller Tarif gekennzeichnet.
Wählen Sie einen der anderen Tarife auf der Preisseite aus, und wählen Sie dann Anwenden aus, um ihre Tarifbindung zu ändern. Sie müssen über "Mitwirkender" oder "Besitzer" verfügen, damit der Microsoft Sentinel Arbeitsbereich den Tarif ändern kann.
Weitere Informationen zum Überwachen Ihrer Kosten finden Sie unter Verwalten und Überwachen von Kosten für Microsoft Sentinel.
Für Arbeitsbereiche, die weiterhin klassische Tarife verwenden, enthalten die Microsoft Sentinel Tarife keine Log Analytics-Gebühren. Weitere Informationen finden Sie unter Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel.
Kaufen eines Pre-Purchase-Plans
Sparen Sie die Kosten ihrer Microsoft Sentinel Analyseebene, wenn Sie Microsoft Sentinel Commiteinheiten (CUs) im Voraus erwerben. Verwenden Sie die vorab erworbenen CUs jederzeit während der einjährigen Kauflaufzeit.
Alle berechtigten Microsoft Sentinel Kosten werden automatisch von den vorab erworbenen CUs abgezogen. Sie müssen ihren Microsoft Sentinel Arbeitsbereichen für die CU-Nutzung keinen vorab erworbenen Plan erneut bereitstellen oder zuweisen, um die Vorkaufsrabatte zu erhalten.
Weitere Informationen finden Sie unter Optimieren Microsoft Sentinel Kosten mit einem Vorkaufsplan.
Trennen nicht sicherheitsrelevanter Daten in einem anderen Arbeitsbereich
Microsoft Sentinel analysiert alle Daten, die in Microsoft Sentinel Log Analytics-Arbeitsbereichen erfasst werden. Es empfiehlt sich, einen separaten Arbeitsbereich für nicht sicherheitsrelevante Betriebsdaten zu verwenden, um sicherzustellen, dass keine Microsoft Sentinel Kosten entstehen.
Verwenden des Microsoft Sentinel Data Lake für niedrigere Genauigkeit oder sekundäre Sicherheitsdaten
Die Analyseebene eignet sich zwar am besten für die kontinuierliche Bedrohungserkennung in Echtzeit, der Microsoft Sentinel Data Lake eignet sich jedoch gut für Abfragen und Analysen sekundärer Sicherheitsdaten, die nicht für die Bedrohungserkennung in Echtzeit benötigt werden. Microsoft Sentinel Data Lake bietet Erfassung und Speicherung zu deutlich reduzierten Kosten. Weitere Informationen finden Sie unter Microsoft Sentinel Preise.
Optimieren der Log Analytics-Kosten mit dedizierten Clustern
Wenn Sie mindestens 100 GB in Ihrem Microsoft Sentinel Arbeitsbereich oder arbeitsbereichen in derselben Region erfassen, sollten Sie den Wechsel zu einem dedizierten Log Analytics-Cluster in Betracht ziehen, um die Kosten zu senken. Eine Dedizierte Log Analytics-Clusterbindungsstufe aggregiert das Datenvolumen über Arbeitsbereiche hinweg, die insgesamt 100 GB oder mehr erfassen. Weitere Informationen finden Sie unter Vereinfachter Tarif für dedizierte Cluster.
Sie können einem dedizierten Log Analytics-Cluster mehrere Microsoft Sentinel Arbeitsbereiche hinzufügen. Die Verwendung eines dedizierten Log Analytics-Clusters für Microsoft Sentinel hat einige Vorteile:
Arbeitsbereichsübergreifende Abfragen werden schneller ausgeführt, wenn sich alle an der Abfrage beteiligten Arbeitsbereiche im dedizierten Cluster befinden. Es ist immer noch am besten, so wenige Arbeitsbereiche wie möglich in Ihrer Umgebung zu haben, und ein dedizierter Cluster behält weiterhin den Grenzwert von 100 Arbeitsbereichen für die Aufnahme in eine einzelne arbeitsbereichsübergreifende Abfrage bei.
Alle Arbeitsbereiche im dedizierten Cluster können die für den Cluster festgelegte Log Analytics-Verpflichtungsebene gemeinsam nutzen. Wenn Sie sich nicht auf separate Log Analytics-Verpflichtungsebenen für jeden Arbeitsbereich festlegen müssen, können Kosteneinsparungen und Effizienz erzielt werden. Wenn Sie einen dedizierten Cluster aktivieren, verpflichten Sie sich auf eine Mindestabnahmeebene für Log Analytics von 100 GB pro Tag.
Im Folgenden finden Sie einige weitere Überlegungen zum Umstieg auf einen dedizierten Cluster zur Kostenoptimierung:
- Die maximale Anzahl von Clustern pro Region und Abonnement beträgt zwei.
- Alle Arbeitsbereiche, die mit einem Cluster verknüpft sind, müssen sich in derselben Region befinden.
- Die maximale Anzahl von Arbeitsbereichen, die mit einem Cluster verknüpft sind, beträgt 1.000.
- Sie können die Verknüpfung eines verknüpften Arbeitsbereichs mit Ihrem Cluster aufheben. Die Anzahl der Linkvorgänge in einem bestimmten Arbeitsbereich ist auf zwei in einem Zeitraum von 30 Tagen beschränkt.
- Sie können einen vorhandenen Arbeitsbereich nicht in einen CMK-Cluster (Customer Managed Key) verschieben. Sie müssen den Arbeitsbereich im Cluster erstellen.
- Das Verschieben eines Clusters in eine andere Ressourcengruppe oder ein anderes Abonnement wird derzeit nicht unterstützt.
- Eine Arbeitsbereichslinkung mit einem Cluster schlägt fehl, wenn der Arbeitsbereich mit einem anderen Cluster verknüpft ist.
Weitere Informationen zu dedizierten Clustern finden Sie unter Dedizierte Log Analytics-Cluster.
Reduzieren der Datenaufbewahrungskosten mit Gesamtaufbewahrung
Microsoft Sentinel speichert Daten der Analyseebene standardmäßig für die ersten 90 Tage in der Analyseaufbewahrung. Mit dem Altern der Daten verlieren sie ihren Wert für Echtzeitanalysen und -untersuchungen. SoC-Benutzer (Security Operations Center) greifen möglicherweise nicht so häufig auf ältere Daten zu, möchten aber dennoch auf die Daten zugreifen, um umfassendere historische Untersuchungen oder Überwachungszwecke zu ermöglichen. Damit Sie Microsoft Sentinel Kosten für die Datenaufbewahrung reduzieren können, ist die Gesamtaufbewahrung verfügbar. Daten, deren Aufbewahrungsstatus für Analysen veraltet ist, können weiterhin zu erheblich reduzierten Kosten aufbewahrt und mithilfe von Data Lake-Erkundungsfunktionen auf sie zugegriffen werden. Weitere Informationen finden Sie unter Lake-Erkundung, KQL-Abfragen.
Verwenden Sie Datenverwaltungstabellen>, um den Aufbewahrungszeitraum für Analysen und Gesamtdauer anzupassen.
Verwenden von Datensammlungsregeln für Ihre Windows-Sicherheit-Ereignisse
Mit dem Windows-Sicherheit Events-Connector können Sie Sicherheitsereignisse von jedem Computer streamen, auf dem Windows Server ausgeführt wird, die mit Ihrem Microsoft Sentinel Arbeitsbereich verbunden sind, einschließlich physischer, virtueller oder lokaler Server oder in einer beliebigen Cloud. Dieser Connector bietet Unterstützung für den Azure Monitor-Agent, der Datensammlungsregeln verwendet, um die Daten zu definieren, die von jedem Agent gesammelt werden sollen.
Mit Datensammlungsregeln können Sie Sammlungseinstellungen im großen Stil verwalten und gleichzeitig eindeutige, bereichsbezogene Konfigurationen für Teilmengen von Computern zulassen. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.
Neben den vordefinierten Ereignissätzen, die Sie für die Erfassung auswählen können, z. B. Alle Ereignisse, Minimal oder Allgemein, ermöglichen Datensammlungsregeln das Erstellen benutzerdefinierter Filter und die Auswahl bestimmter Ereignisse, die erfasst werden sollen. Der Azure Monitor-Agent verwendet diese Regeln, um die Daten an der Quelle zu filtern und dann nur die von Ihnen ausgewählten Ereignisse zu erfassen, während alles andere zurückbleibt. Wenn Sie bestimmte Ereignisse auswählen, die erfasst werden sollen, können Sie Ihre Kosten optimieren und mehr sparen.
Nächste Schritte
- Erfahren Sie , wie Sie Ihre Cloudinvestitionen mit Microsoft Cost Management optimieren.
- Erfahren Sie mehr über das Verwalten von Kosten mit der Kostenanalyse.
- Erfahren Sie, wie Sie unerwartete Kosten vermeiden können.
- Nehmen Sie an dem geführten Lernkurs "Cost Management " teil.
- Weitere Tipps zum Reduzieren des Log Analytics-Datenvolumens finden Sie unter Azure Bewährte Methoden für Monitor – Kostenverwaltung.
- Weitere Informationen zu Microsoft Sentinel Data Lake finden Sie unter Microsoft Sentinel Data Lake.
- Informationen zum Onboarding in Microsoft Sentinel Data Lake finden Sie unter Onboarding von Daten in Microsoft Sentinel Data Lake.