Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura Azure. Anche se questo articolo illustra come ridurre i costi per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse Azure usati dalla sottoscrizione Azure, inclusi i servizi per i partner.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Impostare o modificare il piano tariffario
Per ottimizzare i risparmi più elevati, monitorare il volume di inserimento per assicurarsi di disporre del livello di impegno più allineato ai modelli di volume di inserimento. Valutare la possibilità di aumentare o ridurre il livello di impegno per allinearsi ai volumi di dati in modifica.
È possibile aumentare il livello di impegno in qualsiasi momento, riavviando il periodo di impegno di 31 giorni. Tuttavia, per tornare al pagamento in base al consumo o a un livello di impegno inferiore, è necessario attendere fino al termine del periodo di impegno di 31 giorni. La fatturazione per i livelli di impegno è giornaliera.
Per visualizzare il piano tariffario Microsoft Sentinel corrente, selezionare Impostazioni nel riquadro di spostamento Microsoft Sentinel sinistra e quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Livello corrente.
Per modificare l'impegno del piano tariffario, selezionare uno degli altri livelli nella pagina dei prezzi e quindi selezionare Applica. Per modificare il piano tariffario, è necessario disporre di Collaboratore o Proprietario per l'area di lavoro Microsoft Sentinel.
Per altre informazioni su come monitorare i costi, vedere Gestire e monitorare i costi per Microsoft Sentinel.
Per le aree di lavoro che usano ancora i piani tariffari classici, i piani tariffari Microsoft Sentinel non includono gli addebiti di Log Analytics. Per altre informazioni, vedere Informazioni sul modello di fatturazione completo per Microsoft Sentinel.
Acquistare un piano di pre-acquisto
Risparmiare sui costi del livello di analisi Microsoft Sentinel quando si pre-acquistano Microsoft Sentinel unità commit (CU). Usare le CU pre-acquistate in qualsiasi momento durante il periodo di acquisto di un anno.
Eventuali costi di Microsoft Sentinel idonei vengono dedotti automaticamente dalle CU pre-acquistate. Non è necessario ridistribuire o assegnare un piano pre-acquistato alle aree di lavoro Microsoft Sentinel per l'utilizzo dell'cu per ottenere gli sconti pre-acquisto.
Per altre informazioni, vedere Ottimizzare i costi Microsoft Sentinel con un piano di pre-acquisto.
Separare i dati non di sicurezza in un'area di lavoro diversa
Microsoft Sentinel analizza tutti i dati inseriti nelle aree di lavoro Log Analytics abilitate per Microsoft Sentinel. È consigliabile avere un'area di lavoro separata per i dati delle operazioni non di sicurezza, per assicurarsi che non incorre in costi Microsoft Sentinel.
Usare il data lake Microsoft Sentinel per dati di sicurezza secondari o con fedeltà inferiore
Anche se il livello di analisi è più appropriato per il rilevamento continuo delle minacce in tempo reale, il data lake Microsoft Sentinel è particolarmente adatto per le query e l'analisi dei dati di sicurezza secondari non necessari per il rilevamento delle minacce in tempo reale. Microsoft Sentinel data lake offre l'inserimento e l'archiviazione a un costo notevolmente ridotto. Per altre informazioni, vedere prezzi Microsoft Sentinel.
Ottimizzare i costi di Log Analytics con cluster dedicati
Se si inserisce almeno 100 GB nell'area di lavoro Microsoft Sentinel o nelle aree di lavoro della stessa area, provare a passare a un cluster dedicato di Log Analytics per ridurre i costi. Un livello di impegno del cluster dedicato di Log Analytics aggrega il volume di dati tra aree di lavoro che inserino collettivamente un totale di 100 GB o più. Per altre informazioni, vedere Piano tariffario semplificato per il cluster dedicato.
È possibile aggiungere più aree di lavoro Microsoft Sentinel a un cluster dedicato di Log Analytics. L'uso di un cluster dedicato di Log Analytics per Microsoft Sentinel offre un paio di vantaggi:
Le query tra aree di lavoro vengono eseguite più velocemente se tutte le aree di lavoro coinvolte nella query si trovano nel cluster dedicato. È comunque consigliabile avere il minor numero possibile di aree di lavoro nell'ambiente e un cluster dedicato mantiene ancora il limite di 100 aree di lavoro per l'inclusione in una singola query tra aree di lavoro.
Tutte le aree di lavoro nel cluster dedicato possono condividere il livello di impegno Log Analytics impostato nel cluster. La mancata necessità di eseguire il commit per livelli di impegno log analytics separati per ogni area di lavoro può consentire risparmi sui costi ed efficienza. Abilitando un cluster dedicato, si esegue il commit a un livello di impegno di Log Analytics minimo di 100 GB al giorno.
Ecco alcune altre considerazioni per il passaggio a un cluster dedicato per l'ottimizzazione dei costi:
- Il numero massimo di cluster per area e sottoscrizione è due.
- Tutte le aree di lavoro collegate a un cluster devono trovarsi nella stessa area.
- Il numero massimo di aree di lavoro collegate a un cluster è 1000.
- È possibile scollegare un'area di lavoro collegata dal cluster. Il numero di operazioni di collegamento in una determinata area di lavoro è limitato a due in un periodo di 30 giorni.
- Non è possibile spostare un'area di lavoro esistente in un cluster con chiave gestita dal cliente. È necessario creare l'area di lavoro nel cluster.
- Lo spostamento di un cluster in un altro gruppo di risorse o sottoscrizione non è attualmente supportato.
- Un collegamento all'area di lavoro a un cluster ha esito negativo se l'area di lavoro è collegata a un altro cluster.
Per altre informazioni sui cluster dedicati, vedere Cluster dedicati di Log Analytics.
Ridurre i costi di conservazione dei dati con la conservazione totale
Microsoft Sentinel conserva i dati del livello di analisi per impostazione predefinita per i primi 90 giorni nella conservazione dell'analisi. Man mano che i dati invecchiano, perde il valore per l'analisi e l'analisi in tempo reale. Gli utenti del Centro operativo di sicurezza (SOC) potrebbero non accedere ai dati meno recenti con frequenza, ma vogliono comunque accedere ai dati per indagini cronologiche o scopi di controllo più ampi. Per ridurre Microsoft Sentinel costi di conservazione dei dati, è disponibile la conservazione totale. I dati che escono dal relativo stato di conservazione dell'analisi possono comunque essere conservati, a un costo molto ridotto e accessibili usando le funzionalità di esplorazione del data lake. Per altre informazioni, vedere Esplorazione di Lake, query KQL.
Usare le tabelle di gestione > dei dati per modificare il periodo di conservazione Analisi e Totale.
Usare le regole di raccolta dati per gli eventi di Sicurezza di Windows
Il connettore eventi Sicurezza di Windows consente di trasmettere gli eventi di sicurezza da qualsiasi computer che esegue Windows Server connessi all'area di lavoro Microsoft Sentinel, inclusi server fisici, virtuali o locali o in qualsiasi cloud. Questo connettore include il supporto per l'agente di monitoraggio Azure, che usa le regole di raccolta dati per definire i dati da raccogliere da ogni agente.
Le regole di raccolta dati consentono di gestire le impostazioni di raccolta su larga scala, consentendo al contempo configurazioni con ambito univoco per subset di computer. Per altre informazioni, vedere Configurare la raccolta dati per l'agente di monitoraggio Azure.
Oltre ai set predefiniti di eventi che è possibile selezionare per l'inserimento, ad esempio Tutti gli eventi, Minimo o Comune, le regole di raccolta dati consentono di compilare filtri personalizzati e selezionare eventi specifici da inserire. L'agente di monitoraggio Azure usa queste regole per filtrare i dati all'origine e quindi inserire solo gli eventi selezionati, lasciando tutto il resto alle spalle. La selezione di eventi specifici da inserire consente di ottimizzare i costi e risparmiare di più.
Passaggi successivi
- Informazioni su come ottimizzare gli investimenti nel cloud con Gestione costi Microsoft.
- Altre informazioni sulla gestione dei costi con l'analisi dei costi.
- Informazioni su come evitare costi imprevisti.
- Seguire il corso di apprendimento guidato Gestione costi .
- Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Azure Monitorare le procedure consigliate - Gestione dei costi.
- Per altre informazioni su Microsoft Sentinel data lake, vedere Microsoft Sentinel data lake.
- Per eseguire l'onboarding in Microsoft Sentinel data lake, vedere Eseguire l'onboarding dei dati in Microsoft Sentinel data lake.