Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten op uw Azure factuur. Hoewel in dit artikel wordt uitgelegd hoe u de kosten voor Microsoft Sentinel kunt verlagen, wordt u gefactureerd voor alle Azure services en resources die uw Azure abonnement gebruikt, inclusief partnerservices.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Prijscategorie instellen of wijzigen
Als u wilt optimaliseren voor de hoogste besparingen, controleert u het opnamevolume om ervoor te zorgen dat u de toezeggingslaag hebt die het meest overeenkomt met uw opnamevolumepatronen. Overweeg uw toezeggingslaag te verhogen of te verlagen om deze af te stemmen op veranderende gegevensvolumes.
U kunt uw toezeggingslaag op elk gewenst moment verhogen, waardoor de toezeggingsperiode van 31 dagen opnieuw wordt gestart. Als u echter wilt terugkeren naar betalen per gebruik of naar een lagere toezeggingslaag, moet u wachten totdat de toezeggingsperiode van 31 dagen is verstreken. Facturering voor toezeggingslagen vindt dagelijks plaats.
Als u uw huidige Microsoft Sentinel prijscategorie wilt zien, selecteert u Instellingen in de Microsoft Sentinel linkernavigatie en selecteert u vervolgens het tabblad Prijzen. Uw huidige prijscategorie is gemarkeerd als Huidige laag.
Als u de toezegging van uw prijscategorie wilt wijzigen, selecteert u een van de andere lagen op de pagina met prijzen en selecteert u vervolgens Toepassen. U moet Inzender of Eigenaar hebben voor de Microsoft Sentinel werkruimte om de prijscategorie te wijzigen.
Voor werkruimten die nog steeds gebruikmaken van klassieke prijscategorieën, bevatten de Microsoft Sentinel prijscategorieën geen Log Analytics-kosten. Zie Inzicht in het volledige factureringsmodel voor Microsoft Sentinel voor meer informatie.
Een pre-aankoopplan kopen
Bespaar op de kosten van uw Microsoft Sentinel analyselaag wanneer u vooraf Microsoft Sentinel commit units (CA's) aanschaft. Gebruik de vooraf gekochte CU's op elk gewenst moment tijdens de aankooptermijn van één jaar.
Alle in aanmerking komende Microsoft Sentinel kosten eerst automatisch aftrekken van de vooraf aangeschafte CU's. U hoeft geen vooraf aangeschaft abonnement opnieuw te implementeren of toe te wijzen aan uw Microsoft Sentinel werkruimten voor het CU-gebruik om de korting vooraf te krijgen.
Zie Microsoft Sentinel kosten optimaliseren met een abonnement voor aankoop voor meer informatie.
Niet-beveiligingsgegevens scheiden in een andere werkruimte
Microsoft Sentinel analyseert alle gegevens die zijn opgenomen in Microsoft Sentinel ingeschakelde Log Analytics-werkruimten. Het is het beste om een afzonderlijke werkruimte te hebben voor niet-beveiligingsbewerkingsgegevens, om ervoor te zorgen dat er geen Microsoft Sentinel kosten in rekening worden gebracht.
Gebruik de Microsoft Sentinel data lake voor gegevens met een lagere betrouwbaarheid of secundaire beveiligingsgegevens
Hoewel de analyselaag het meest geschikt is voor continue, realtime detectie van bedreigingen, is de Microsoft Sentinel Data Lake zeer geschikt voor query's en analyses van secundaire beveiligingsgegevens die niet nodig zijn voor realtime detectie van bedreigingen. Microsoft Sentinel data lake biedt opname en opslag tegen aanzienlijk lagere kosten. Zie prijzen Microsoft Sentinel voor meer informatie.
Log Analytics-kosten optimaliseren met toegewezen clusters
Als u ten minste 100 GB opneemt in uw Microsoft Sentinel werkruimte of werkruimten in dezelfde regio, kunt u overwegen om over te stappen naar een toegewezen Log Analytics-cluster om de kosten te verlagen. Een toegewezen cluster toezeggingslaag van Log Analytics aggregeert het gegevensvolume voor werkruimten die gezamenlijk 100 GB of meer opnemen. Zie Vereenvoudigde prijscategorie voor toegewezen cluster voor meer informatie.
U kunt meerdere Microsoft Sentinel werkruimten toevoegen aan een toegewezen Log Analytics-cluster. Er zijn een aantal voordelen van het gebruik van een toegewezen Log Analytics-cluster voor Microsoft Sentinel:
Query's voor meerdere werkruimten worden sneller uitgevoerd als alle werkruimten die bij de query zijn betrokken zich in het toegewezen cluster bevinden. Het is nog steeds het beste om zo weinig mogelijk werkruimten in uw omgeving te hebben en een toegewezen cluster behoudt nog steeds de limiet van 100 werkruimten voor opname in één query voor meerdere werkruimten.
Alle werkruimten in het toegewezen cluster kunnen de Log Analytics-toezeggingslaag delen die is ingesteld op het cluster. Als u zich niet hoeft te committen aan afzonderlijke Log Analytics-toezeggingslagen voor elke werkruimte, kan dit leiden tot kostenbesparingen en efficiëntie. Door een toegewezen cluster in te schakelen, voert u een minimale Log Analytics-toezeggingslaag van 100 GB opname per dag uit.
Hier volgen enkele andere overwegingen voor het verplaatsen naar een toegewezen cluster voor kostenoptimalisatie:
- Het maximum aantal clusters per regio en abonnement is twee.
- Alle werkruimten die aan een cluster zijn gekoppeld, moeten zich in dezelfde regio bevinden.
- Het maximum aantal werkruimten dat is gekoppeld aan een cluster is 1000.
- U kunt een gekoppelde werkruimte loskoppelen van uw cluster. Het aantal koppelingsbewerkingen voor een bepaalde werkruimte is beperkt tot twee in een periode van 30 dagen.
- U kunt een bestaande werkruimte niet verplaatsen naar een door de klant beheerde sleutel (CMK)-cluster. U moet de werkruimte in het cluster maken.
- Het verplaatsen van een cluster naar een andere resourcegroep of een ander abonnement wordt momenteel niet ondersteund.
- Een werkruimtekoppeling naar een cluster mislukt als de werkruimte is gekoppeld aan een ander cluster.
Zie Toegewezen Log Analytics-clusters voor meer informatie over toegewezen clusters.
Kosten voor gegevensretentie verlagen met totale retentie
Microsoft Sentinel behoudt standaard gegevens van de analyselaag gedurende de eerste 90 dagen in de retentie van analyses. Naarmate gegevens ouder worden, verliest deze zijn waarde voor realtime analyses en onderzoek. Soc-gebruikers (Security Operations Center) hebben mogelijk niet zo vaak toegang tot oudere gegevens, maar willen toch toegang krijgen tot de gegevens voor breder historisch onderzoek of controledoeleinden. Om u te helpen de kosten voor Microsoft Sentinel gegevensretentie te verminderen, is de totale retentie beschikbaar. Gegevens die ouder zijn dan de retentiestatus van de analyse, kunnen nog steeds worden bewaard, tegen veel lagere kosten en toegankelijk zijn met behulp van data lake-verkenningsmogelijkheden. Zie Meer verkennen, KQL-query's voor meer informatie.
Gebruik Gegevensbeheertabellen > om de analyse- en totale bewaarperiode aan te passen.
Regels voor gegevensverzameling gebruiken voor uw Windows-beveiliging-gebeurtenissen
Met de connector voor Windows-beveiliging gebeurtenissen kunt u beveiligingsgebeurtenissen streamen vanaf elke computer met Windows Server die is verbonden met uw Microsoft Sentinel werkruimte, inclusief fysieke, virtuele of on-premises servers, of in elke cloud. Deze connector bevat ondersteuning voor de Azure Monitor-agent, die gebruikmaakt van regels voor gegevensverzameling om de gegevens te definiëren die moeten worden verzameld van elke agent.
Met regels voor gegevensverzameling kunt u verzamelingsinstellingen op schaal beheren, terwijl u nog steeds unieke configuraties met een bereik voor subsets van machines toestaat. Zie Gegevensverzameling configureren voor de Azure Monitor-agent voor meer informatie.
Naast de vooraf gedefinieerde sets gebeurtenissen die u kunt selecteren om op te nemen, zoals Alle gebeurtenissen, Minimaal of Algemeen, kunt u met regels voor gegevensverzameling aangepaste filters maken en specifieke gebeurtenissen selecteren die u wilt opnemen. De Azure Monitor Agent gebruikt deze regels om de gegevens bij de bron te filteren en vervolgens alleen de gebeurtenissen op te nemen die u hebt geselecteerd, terwijl u de rest achterlaat. Als u specifieke gebeurtenissen selecteert om op te nemen, kunt u uw kosten optimaliseren en meer besparen.
Volgende stappen
- Meer informatie over het optimaliseren van uw investering in de cloud met Microsoft Cost Management.
- Meer informatie over het beheren van kosten met kostenanalyse.
- Meer informatie over het voorkomen van onverwachte kosten.
- Volg de begeleide cursus Cost Management .
- Zie Azure Best practices bewaken - Kostenbeheer voor meer tips over het verminderen van het log analytics-gegevensvolume.
- Zie Microsoft Sentinel data lake voor meer informatie over Microsoft Sentinel data lake.
- Zie Gegevens onboarden naar Microsoft Sentinel data lake als u wilt onboarden naar Microsoft Sentinel data lake.