切换到 Microsoft Sentinel 的简化定价层

项目
08/11/2023

对于 2023 年 7 月之前创建的许多 Microsoft Sentinel 工作区，除了 Microsoft Sentinel 的经典定价层外，还有一个单独的 Azure Monitor Log Analytics 定价层。若要合并 Log Analytics 的数据引入成本和 Microsoft Sentinel 的数据分析成本，请在简化的定价层中注册工作区。

先决条件

在注册简化定价层之前，Log Analytics 工作区定价层必须位于“即用即付”或承诺层级。不支持 Log Analytics 旧定价层。
Sentinel 必须在 2023 年 7 月之前启用。启用 Sentinel 2023 年 7 月及更高版本的工作区将自动默认为简化定价体验。
需要 Microsoft Sentinel 参与者角色才能切换定价层。

将定价层更改为简化定价层

经典定价层是分别配置 Microsoft Sentinel 和 Log Analytics 定价层，并在发票上显示为不同的计量。若要转移到简化定价层，其中 Microsoft Sentinel 和 Log Analytics 计费合并用于同一计量，请切换到新定价。

Microsoft Sentinel
Azure Resource Manager

使用以下步骤，通过 Microsoft Sentinel 门户更改工作区的定价层。完成切换后，无法使用此界面还原回经典定价层。

从“设置”菜单中，选择“切换到新定价”。
查看当前层，并考虑层不匹配的推荐层。
根据典型引入情况，从“统一定价层”下拉菜单中选择一个选项。
选择“确定”以确认。

若要使用 Azure 资源管理器模板设置定价层，请设置以下值：

Microsoft.OperationsManagement/solutions将 sku 名称设置为 Unified
将 capacityReservationLevel 设置为定价层

有关此模板格式的详细信息，请参阅 Microsoft.OperationalInsights 工作区。

以下示例模板对 Microsoft Sentinel 简化定价配置 300 GB/天承诺层级。若要将简化定价层设置为“即用即付”，请省略 capacityReservationLevel 属性值，并将 capacityreservation 更改为 pergb2018。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "Unified" 
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 300 
                } 
            } 
        } 
    ] 
}

只有 2023 年 7 月之前拥有 Microsoft Sentinel 的租户才能还原回到经典定价层。若要重新切换，请将 Microsoft.OperationsManagement/solutionssku 名称设置为 capacityreservation，并将这两个部分的 capacityReservationLevel 设置为相应的定价层。

以下示例模板将 Microsoft Sentinel 设置为经典定价层“即用即付”，并将 Log Analytic 工作区设置为 100 GB/天承诺层级。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "PerGB", 
                    "capacityReservationLevel":
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 100 
                } 
            } 
        } 
    ] 
}

若要详细了解如何使用资源管理器模板，请参阅部署示例模板。

若要参考如何在 Terraform 或 Bicep 中实现此功能，请从此处开始。

专用群集的简化定价层

在经典定价层中，Microsoft Sentinel 始终作为辅助计量在工作区级别计费。 Microsoft Sentinel 的计量可能与工作区不同。

使用简化定价层，为 Microsoft Sentinel 工作区设置群集使用的相同承诺层级。 Microsoft Sentinel 使用量将按该层计量的每 GB 有效价格计费，所有使用量将计入专用群集的总分配。根据群集的计费模式，此分配要么在群集级别，要么在工作区级别按比例进行。有关详细信息，请参阅成本详细信息 - 专用群集。

登出行为

如果在启用简化定价的同时从工作区中删除 Microsoft Sentinel，则 Log Analytics 工作区默认为已配置的定价层。例如，如果在 Microsoft Sentinel 中为简化定价配置了 100 GB/天承诺层级，则从工作区中删除 Microsoft Sentinel 后，Log Analytics 工作区的定价层将更改为 100 GB/天承诺层级。

切换会降低我的成本吗？

尽管该体验的目标是在不影响实际成本的情况下简化定价和成本管理体验，但在切换到简化定价层时，存在两种降低成本的主要方案。

如果工作区使用组合的 Defender for Servers 权益，则可节省总成本。
如果 Log Analytics 或 Microsoft Sentinel 的单独定价层之一不适当地不匹配，则简化定价层可能会节省成本。

有没有理由不切换？

你的 Microsoft 帐户团队可能已就经典层上的 Log Analytics 或 Microsoft Sentinel 费用协商了折扣价格。仅从 Microsoft Sentinel 定价界面无法判断是否存在这种情况。可以在 Microsoft 成本管理中计算预期成本与实际费用，以查看是否包含折扣。在这种情况下，如果想要切换到简化定价层或有任何疑问，建议联系 Microsoft 帐户团队。

后续步骤

规划成本，了解 Microsoft Sentinel 定价和计费
Microsoft Sentinel 的成本
了解如何通过 Azure 成本管理优化云投资。
详细了解如何通过成本分析来管理成本。
了解如何防止意外成本。
有关减少 Log Analytics 数据量的更多提示，请参阅 Azure Monitor 最佳做法 - 成本管理。