重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
Microsoft Sentinel的成本只是Azure帐单中每月成本的一部分。 尽管本文介绍了如何降低 Microsoft Sentinel 的成本,但您仍需为 Azure 订阅使用的所有 Azure 服务和资源(包括合作伙伴服务)付费。
设置或更改定价层级
若要实现最大节省,请监控您的数据摄取量,以确保选择的承诺级别与您的数据摄取量模式最为匹配。 请考虑增加或减少您的承诺层级,以适应不断变化的数据量。
可以随时增加承诺层,这会重启 31 天承诺期。 但是,若要返回到即用即付或降低承诺层,必须等到 31 天承诺期结束后。 承诺层按日计费。
若要查看当前Microsoft Sentinel定价层,请在左侧导航中选择 Settings Microsoft Sentinel,然后选择 Pricing 选项卡。当前定价层标记为 Current 层。
若要更改定价层级承诺,请在定价页上选择一个其他层,然后选择“应用”。 必须在 Microsoft Sentinel 工作区中具有 Contributor 或 Owner 角色才能更改定价层。
对于仍在使用经典定价层的工作区,Microsoft Sentinel定价层不包括Log Analytics费用。 有关详细信息,请参阅 了解 Microsoft Sentinel 的完整计费模型。
将非安全数据分隔到不同的工作区中
Microsoft Sentinel会分析引入到启用了Microsoft Sentinel的Log Analytics工作区中的所有数据。 最好为非安全操作数据创建单独的工作区,以确保它不会产生Microsoft Sentinel成本。
使用专用群集优化 Log Analytics 的成本
如果在同一区域中的 Microsoft Sentinel 工作区引入至少 100 GB,请考虑迁移到日志分析专用集群以降低成本。 Log Analytics 专用集群的承诺层会跨工作区聚合数据量,这些工作区总共引入 100 GB 或更多的数据。 如需了解更多信息,请参阅专用群集的简化定价层。
可以将多个Microsoft Sentinel工作区添加到Log Analytics专用群集。 使用 Log Analytics 专用群集用于 Microsoft Sentinel 有若干优点:
如果查询中涉及的所有工作区都在专用群集中,则跨工作区查询的运行速度更快。 在您的环境中,最好尽量减少工作区的数量,即使在专用群集中,一个单个跨工作区查询仍然只能包含最多100 个工作区。
专用群集中的所有工作区都可以共享群集上设置的Log Analytics承诺层。 无需为每个工作区分别提交 Log Analytics 承诺层,这可以节省成本并提高效率。 通过启用专用群集,您承诺每天至少 100 GB 的数据引入以满足最低 Log Analytics“承诺层”要求。
下面是迁移到专用群集以实现成本优化的一些其他注意事项:
- 每个区域和每个订阅的群集的最大数目为 2。
- 链接到群集的所有工作区必须位于同一区域中。
- 链接到一个群集的最大工作区数量为 1000。
- 您可以解除某个已链接工作区与群集的链接。 在 30 天内,对特定工作区的链接操作次数限制为 2 次。
- 不能将现有工作区移动到客户托管的密钥 (CMK) 群集。 必须在群集中创建工作区。
- 当前不支持将群集移到另一个资源组或订阅。
- 如果工作区已链接到另一个群集,则该工作区到群集的链接将失败。
有关专用群集的详细信息,请参阅 Log Analytics 专用群集。
通过长期保留降低数据保留成本
Microsoft Sentinel在前 90 天内以交互形式默认保留数据。 若要调整Log Analytics中的数据保留期,请在左侧导航中选择 Usage 和估计成本,然后选择 Data retention,然后调整滑块。
Microsoft Sentinel安全数据在几个月后可能会丢失部分价值。 安全运营中心 (SOC) 用户可能无需像更新的数据一样频繁访问较旧的数据,但在偶尔调查或审核时可能仍需要访问数据。
为了帮助你降低Microsoft Sentinel数据保留成本,Azure Monitor现在提供长期保留。 脱离交互式保留状态的数据仍然可以保留长达 12 年,成本大大降低,但使用也受到限制。 有关详细信息,请参阅 管理 Log Analytics 工作区中的数据保留期。
为 Windows 安全事件使用数据收集规则
使用 Windows Security 事件连接器,您可以从运行 Windows Server 的任何计算机(包括连接到 Microsoft Sentinel 工作区的物理服务器、虚拟服务器或本地服务器,或任何云)流式传输安全事件。 此连接器包括对 Azure Monitor 代理的支持,该代理使用数据收集规则定义要从每个代理收集的数据。
利用数据收集规则可以大规模地管理收集设置,同时还可以为部分计算机进行唯一、局部的配置。 有关详细信息,请参阅 配置 Azure Monitor 代理的数据收集。
除了可以选择引入的预定义事件集(例如“所有事件”、“最小事件”或“常见事件”)之外,数据收集规则还使你能够生成自定义筛选器并选择要引入的特定事件。 Azure Monitor 代理使用这些规则来筛选源数据,然后仅引入您选择的事件,而忽略其他所有内容。 选择要引入的特定事件有助于优化成本并节省更多成本。
后续步骤
- 了解 如何使用 Azure Cost Management 优化云投资。
- 详细了解如何通过成本分析来管理成本。
- 了解如何防止意外成本。
- 有关减少Log Analytics数据量的详细信息,请参阅Azure Monitor最佳做法 - 成本管理。