Microsoft Sentinelのコストは、Azure請求書の月額料金の一部にすぎません。 この記事では、Microsoft Sentinelのコストを削減する方法について説明しますが、パートナー サービスを含め、Azureサブスクリプションで使用するすべてのAzure サービスとリソースに対して課金されます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
価格レベルを設定または変更する
最大の節約を最適化するには、インジェストボリュームを監視して、インジェストボリュームパターンに最も近いコミットメントレベルがあることを確認します。 変更するデータ ボリュームに合わせて、コミットメントレベルを増減することを検討してください。
コミットメントレベルはいつでも増やすことができます。これにより、31 日間のコミットメント期間が再開されます。 ただし、従量課金制または下位コミットメントレベルに戻すには、31 日間のコミットメント期間が終了するまで待つ必要があります。 コミットメント レベルの課金は毎日行われます。
現在のMicrosoft Sentinel価格レベルを表示するには、左側のナビゲーションMicrosoft Sentinelで [設定] を選択し、[価格] タブを選択します。現在の価格レベルが [現在のレベル] とマークされています。
価格レベルのコミットメントを変更するには、価格ページで他のレベルのいずれかを選択し、[ 適用] を選択します。 価格レベルを変更するには、Microsoft Sentinel ワークスペースの共同作成者または所有者が必要です。
コストを監視する方法の詳細については、「Microsoft Sentinelのコストを管理および監視する」を参照してください。
クラシック価格レベルを引き続き使用しているワークスペースの場合、Microsoft Sentinel価格レベルには Log Analytics の料金は含まれません。 詳細については、「Microsoft Sentinelの完全な課金モデルについて」を参照してください。
購入前プランを購入する
コミット ユニット (CU) を事前購入するときに、Microsoft Sentinel分析レベルのコストMicrosoft Sentinel節約できます。 事前購入された CU は、1 年間の購入期間にいつでも使用します。
対象となるMicrosoft Sentinelコストは、事前に購入された CU から最初に自動的に差し引かれます。 購入前の割引を受けるために、CU の使用量をMicrosoft Sentinelワークスペースに再デプロイしたり、事前購入プランを割り当てたりする必要はありません。
詳細については、「購入前プランでMicrosoft Sentinelコストを最適化する」を参照してください。
別のワークスペースでセキュリティ以外のデータを分離する
Microsoft Sentinelは、Microsoft Sentinel対応の Log Analytics ワークスペースに取り込まれたすべてのデータを分析します。 セキュリティ以外の操作データ用に別のワークスペースを用意して、Microsoft Sentinelコストが発生しないようにすることをお勧めします。
Microsoft Sentinel データ レイクを使用して、より忠実度の低いデータまたはセカンダリ セキュリティ データを作成する
分析レベルは継続的かつリアルタイムの脅威検出に最も適していますが、Microsoft Sentinel データ レイクは、リアルタイムの脅威検出に必要のないセカンダリ セキュリティ データのクエリと分析に適しています。 Microsoft Sentinel データ レイクは、インジェストとストレージを大幅に削減するコストを提供します。 詳細については、「Microsoft Sentinel価格」を参照してください。
専用クラスターを使用して Log Analytics のコストを最適化する
少なくとも 100 GB を同じリージョン内の Microsoft Sentinel ワークスペースまたはワークスペースに取り込む場合は、コストを削減するために Log Analytics 専用クラスターに移行することを検討してください。 Log Analytics 専用クラスター コミットメントレベルは、合計 100 GB 以上を一括して取り込むワークスペース全体のデータ ボリュームを集計します。 詳細については、「 専用クラスターの簡易価格レベル」を参照してください。
Log Analytics 専用クラスターには、複数のMicrosoft Sentinel ワークスペースを追加できます。 Microsoft Sentinelに Log Analytics 専用クラスターを使用するには、いくつかの利点があります。
ワークスペース間クエリは、クエリに関連するすべてのワークスペースが専用クラスター内にある場合、より高速に実行されます。 環境内にはできるだけ少ないワークスペースを用意することをお勧めします。また、専用クラスターでは、1 つのワークスペース間クエリに含めるための 100 個のワークスペース制限 が引き続き保持されます。
専用クラスター内のすべてのワークスペースは、クラスターに設定されている Log Analytics コミットメントレベルを共有できます。 ワークスペースごとに個別の Log Analytics コミットメント レベルにコミットする必要がない場合、コストの削減と効率を実現できます。 専用クラスターを有効にすると、1 日あたり 100 GB の最小 Log Analytics コミットメント レベルにコミットします。
コスト最適化のために専用クラスターに移行する場合のその他の考慮事項を次に示します。
- リージョンとサブスクリプションあたりのクラスターの最大数は 2 です。
- クラスターにリンクされているすべてのワークスペースは、同じリージョンに存在する必要があります。
- クラスターにリンクされているワークスペースの最大数は 1000 です。
- クラスターからリンクされたワークスペースのリンクを解除できます。 特定のワークスペースでのリンク操作の数は、30 日間で 2 つに制限されます。
- 既存のワークスペースをカスタマー マネージド キー (CMK) クラスターに移動することはできません。 クラスターにワークスペースを作成する必要があります。
- クラスターを別のリソース グループまたはサブスクリプションに移動することは現在サポートされていません。
- ワークスペースが別のクラスターにリンクされている場合、クラスターへのワークスペース リンクは失敗します。
専用クラスターの詳細については、「 Log Analytics 専用クラスター」を参照してください。
総保有期間を使用してデータ保持コストを削減する
Microsoft Sentinelは、分析保持期間の最初の 90 日間、既定で分析層データを保持します。 データの年齢が長くなるにつれて、リアルタイムの分析と調査の価値が失われます。 セキュリティ オペレーション センター (SOC) ユーザーは、古いデータに頻繁にアクセスしない可能性がありますが、より広範な履歴調査や監査のためにデータにアクセスしたいと考えています。 データ保持コストMicrosoft Sentinel削減するために、総保有期間を使用できます。 分析リテンション期間の状態から経過したデータは、引き続き、大幅に削減されたコストで保持され、Data Lake の探索機能を使用してアクセスできます。 詳細については、「 Lake の探索、KQL クエリ」を参照してください。
データ管理>テーブルを使用して、分析と総保有期間を調整します。
Windows セキュリティ イベントのデータ収集ルールを使用する
Windows セキュリティ イベント コネクタを使用すると、Microsoft Sentinel ワークスペースに接続されているWindows Serverを実行しているすべてのコンピューター (物理、仮想、またはオンプレミスのサーバー、クラウドなど) からセキュリティ イベントをストリーミングできます。 このコネクタには、データ収集ルールを使用して各エージェントから収集するデータを定義するAzure Monitor エージェントのサポートが含まれています。
データ収集ルールを使用すると、コレクション設定を大規模に管理しながら、マシンのサブセットに対して一意のスコープ設定を許可できます。 詳細については、「Azure Monitor エージェントのデータ収集を構成する」を参照してください。
すべてのイベント、最小、共通など、取り込み対象として選択できる定義済みのイベント セットに加えて、データ収集ルールを使用すると、カスタム フィルターを構築し、取り込む特定のイベントを選択できます。 Azure モニター エージェントでは、これらのルールを使用してソースのデータをフィルター処理し、選択したイベントのみを取り込み、他のすべてを残します。 取り込む特定のイベントを選択すると、コストを最適化し、より多くのコストを節約するのに役立ちます。
次の手順
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用したコスト管理の詳細については、こちらをご覧ください。
- 予期しないコストを防ぐ方法について説明します。
- Cost Management ガイド付き学習コースを受講します。
- Log Analytics データ量の削減に関するその他のヒントについては、「Azure監視のベスト プラクティス - コスト管理」を参照してください。
- データ レイクMicrosoft Sentinel詳細については、「data lake のMicrosoft Sentinel」を参照してください。
- データ レイクMicrosoft Sentinelオンボードするには、「データ レイクへのデータのオンボード」Microsoft Sentinel参照してください。