Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os custos de Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura de Azure. Embora este artigo explique como reduzir os custos de Microsoft Sentinel, é-lhe faturado todos os serviços e recursos Azure que a sua subscrição Azure utiliza, incluindo os Serviços de parceiros.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Definir ou alterar o escalão de preço
Para otimizar as poupanças mais elevadas, monitorize o volume de ingestão para garantir que tem o escalão de alocação mais alinhado com os padrões de volume de ingestão. Considere aumentar ou diminuir a camada de alocação para se alinhar com a alteração dos volumes de dados.
Pode aumentar o escalão de alocação em qualquer altura, o que reinicia o período de alocação de 31 dias. No entanto, para voltar para pay as you go ou para um escalão de alocação mais baixo, tem de aguardar até que o período de alocação de 31 dias termine. A faturação dos escalões de alocação é efetuada diariamente.
Para ver o escalão de preço atual Microsoft Sentinel, selecione Definições no Microsoft Sentinel navegação à esquerda e, em seguida, selecione o separador Preços. O escalão de preço atual está marcado como Escalão atual.
Para alterar a alocação do escalão de preço, selecione um dos outros escalões na página de preços e, em seguida, selecione Aplicar. Tem de ter Contribuidor ou Proprietário para a área de trabalho Microsoft Sentinel para alterar o escalão de preço.
Para saber mais sobre como monitorizar os custos, veja Gerir e monitorizar os custos de Microsoft Sentinel.
Para áreas de trabalho que ainda utilizam escalões de preço clássicos, os escalões de preço Microsoft Sentinel não incluem custos do Log Analytics. Para obter mais informações, veja Compreender o modelo de faturação completo do Microsoft Sentinel.
Comprar um plano de pré-compra
Poupe nos custos do escalão de análise Microsoft Sentinel quando pré-compra Microsoft Sentinel unidades de consolidação (CUs). Utilize as CUs pré-compradas em qualquer altura durante o período de compra de um ano.
Todos os custos de Microsoft Sentinel elegíveis são deduzidos primeiro das CUs pré-compradas automaticamente. Não precisa de reimplementar ou atribuir um plano pré-comprado às áreas de trabalho Microsoft Sentinel para que a utilização da obtenha os descontos de pré-compra.
Para obter mais informações, veja Otimizar Microsoft Sentinel custos com um plano de pré-compra.
Separar dados não relacionadas com segurança numa área de trabalho diferente
Microsoft Sentinel analisa todos os dados ingeridos em áreas de trabalho do Log Analytics ativadas para Microsoft Sentinel. É melhor ter uma área de trabalho separada para dados de operações não relacionadas com segurança, para garantir que não incorre em custos Microsoft Sentinel.
Utilizar o data lake Microsoft Sentinel para dados de segurança de baixa fidelidade ou secundários
Embora o escalão de análise seja mais adequado para a deteção de ameaças contínua e em tempo real, o Microsoft Sentinel data lake é adequado para consultas e análises de dados de segurança secundários que não são necessários para a deteção de ameaças em tempo real. Microsoft Sentinel data lake oferece ingestão e armazenamento a um custo significativamente reduzido. Para obter mais informações, veja Preços do Microsoft Sentinel.
Otimizar os custos do Log Analytics com clusters dedicados
Se ingerir, pelo menos, 100 GB na área de trabalho ou áreas de trabalho Microsoft Sentinel na mesma região, considere mudar para um cluster dedicado do Log Analytics para diminuir os custos. Uma camada de alocação de cluster dedicada do Log Analytics agrega o volume de dados em áreas de trabalho que ingerem coletivamente um total de 100 GB ou mais. Para obter mais informações, veja Escalão de preço simplificado para o cluster dedicado.
Pode adicionar várias áreas de trabalho Microsoft Sentinel a um cluster dedicado do Log Analytics. Existem algumas vantagens em utilizar um cluster dedicado do Log Analytics para Microsoft Sentinel:
As consultas entre áreas de trabalho são executadas mais rapidamente se todas as áreas de trabalho envolvidas na consulta estiverem no cluster dedicado. Ainda é melhor ter o mínimo de áreas de trabalho possível no seu ambiente e um cluster dedicado ainda mantém o limite de 100 áreas de trabalho para inclusão numa única consulta entre áreas de trabalho.
Todas as áreas de trabalho no cluster dedicado podem partilhar o escalão de alocação do Log Analytics definido no cluster. Não ter de se comprometer a separar os escalões de alocação do Log Analytics para cada área de trabalho pode permitir poupanças e eficiências de custos. Ao ativar um cluster dedicado, compromete-se com um escalão de compromisso mínimo do Log Analytics de ingestão de 100 GB por dia.
Seguem-se outras considerações sobre como mudar para um cluster dedicado para otimização de custos:
- O número máximo de clusters por região e subscrição é dois.
- Todas as áreas de trabalho ligadas a um cluster têm de estar na mesma região.
- O máximo de áreas de trabalho ligadas a um cluster é 1000.
- Pode desassociar uma área de trabalho ligada do cluster. O número de operações de ligação numa área de trabalho específica está limitado a dois num período de 30 dias.
- Não pode mover uma área de trabalho existente para um cluster de chave gerida pelo cliente (CMK). Tem de criar a área de trabalho no cluster.
- Atualmente, a movimentação de um cluster para outro grupo de recursos ou subscrição não é suportada.
- Uma ligação de área de trabalho a um cluster falha se a área de trabalho estiver ligada a outro cluster.
Para obter mais informações sobre clusters dedicados, veja Clusters dedicados do Log Analytics.
Reduzir os custos de retenção de dados com retenção total
Microsoft Sentinel retém os dados do escalão de análise por predefinição durante os primeiros 90 dias na retenção de análise. À medida que os dados envelhecem, perde o seu valor para análise e investigação em tempo real. Os utilizadores do centro de operações de segurança (SOC) podem não aceder a dados mais antigos com tanta frequência, mas ainda querem aceder aos dados para fins de auditoria ou investigações históricas mais abrangentes. Para ajudar a reduzir Microsoft Sentinel custos de retenção de dados, a retenção total está disponível. Os dados que estão fora do respetivo estado de retenção analítico ainda podem ser retidos, a um custo muito reduzido, e acedidos através das capacidades de exploração do data lake. Para obter mais informações, veja Exploração do lago, consultas KQL.
Utilize tabelas de gestão > de dados para ajustar o período de retenção Total e Análise.
Utilizar regras de recolha de dados para os Eventos do Segurança do Windows
O conector Segurança do Windows Eventos permite-lhe transmitir eventos de segurança a partir de qualquer computador com Windows Server ligado à área de trabalho Microsoft Sentinel, incluindo servidores físicos, virtuais ou no local, ou em qualquer cloud. Este conector inclui suporte para o Agente do Azure Monitor, que utiliza regras de recolha de dados para definir os dados a recolher de cada agente.
As regras de recolha de dados permitem-lhe gerir as definições de coleção em escala e, ao mesmo tempo, permitir configurações exclusivas no âmbito de subconjunto de máquinas. Para obter mais informações, veja Configure data collection for the Azure Monitor Agent (Configurar a recolha de dados para o Agente do Monitor do Azure).
Além dos conjuntos predefinidos de eventos que pode selecionar para ingerir, tais como Todos os eventos, Mínimo ou Comum, as regras de recolha de dados permitem-lhe criar filtros personalizados e selecionar eventos específicos para ingerir. O Agente do Azure Monitor utiliza estas regras para filtrar os dados na origem e, em seguida, ingerir apenas os eventos que selecionou, deixando tudo o resto para trás. Selecionar eventos específicos para ingerir pode ajudá-lo a otimizar os custos e a poupar mais.
Passos seguintes
- Saiba como otimizar o investimento na cloud com o Microsoft Cost Management.
- Saiba mais sobre como gerir os custos com a análise de custos.
- Saiba como evitar custos inesperados.
- Faça o curso de aprendizagem orientada do Cost Management .
- Para obter mais sugestões sobre como reduzir o volume de dados do Log Analytics, veja Azure Monitorizar as melhores práticas – Gestão de custos.
- Para saber mais sobre Microsoft Sentinel data lake, veja Microsoft Sentinel data lake.
- Para integrar no data lake Microsoft Sentinel, veja Integrar dados para Microsoft Sentinel data lake.