تقليل تكاليف Microsoft Azure Sentinel

تكاليف Microsoft Azure Sentinel ما هي إلا جزء من التكاليف الشهرية في فاتورة Azure. رغم أن هذه المقالة تشرح كيفية تقليل تكاليف Microsoft Azure Sentinel، إلا إنه تتم محاسبتك على جميع خدمات وموارد Azure التي يستخدمها اشتراك Azure، بما في ذلك خدمات الشريك.

تعيين أو تغيير مستوى الأسعار

للتحسين لتحقيق أعلى معدلات التوفير، راقب حجم الاستيعاب للتأكد من حصولك على مستوى الالتزام الذي يتماشى بشكل وثيق مع أنماط حجم الاستيعاب. ضع في اعتبارك زيادة مستوى الالتزام أو تقليله للتوافق مع وحدات تخزين البيانات المتغيرة.

يمكنك زيادة مستوى الالتزام الخاص بك في أي وقت، والذي يعيد تشغيل فترة الالتزام البالغة 31 يوماً. ومع ذلك، للعودة إلى الدفع عند الاستخدام أو إلى فئة التزام أقل، يجب عليك الانتظار حتى انتهاء فترة الالتزام البالغة 31 يوماً. يتم إعداد الفواتير لمستويات الالتزام على أساس يومي.

للاطلاع على فئة أسعار Microsoft Azure Sentinel الحالية، حدد Settings في شريط التنقل الأيسر من Microsoft Azure Sentinel، ثم حدد علامة التبويب Pricing. يتم تمييز طبقة الأسعار الحالية الخاصة بك بأنها Current tier.

لتغيير التزام فئة الأسعار الخاص بك، حدد أحد المستويات الأخرى في صفحة Pricing، ثم حدد Apply. يجب أن يكون لديك مساهم أو مالك لمساحة عمل Microsoft Sentinel لتغيير مستوى التسعير.

لمعرفة المزيد حول كيفية مراقبة التكاليف، راجع إدارة تكاليف Microsoft Sentinel ومراقبتها.

بالنسبة لمساحات العمل التي لا تزال تستخدم مستويات التسعير الكلاسيكية، لا تتضمن مستويات تسعير Microsoft Sentinel رسوم Log Analytics. لمزيد من المعلومات، راجع مستويات التسعير المبسطة.

شراء خطة ما قبل الشراء

وفر تكاليف Microsoft Sentinel عند شراء وحدات تثبيت Microsoft Sentinel (CUs) مسبقا. استخدم وحدات CUs التي تم شراؤها مسبقا في أي وقت خلال فترة الشراء لمدة سنة واحدة.

يتم خصم أي تكاليف مؤهلة من Microsoft Sentinel أولا من وحدات CUs التي تم شراؤها مسبقا تلقائيا. لا تحتاج إلى إعادة توزيع أو تعيين خطة تم شراؤها مسبقا إلى مساحات عمل Microsoft Sentinel لاستخدام CU للحصول على خصومات الشراء المسبق.

لمزيد من المعلومات، راجع تحسين تكاليف Microsoft Sentinel باستخدام خطة ما قبل الشراء.

فصل البيانات غير المتعلقة بالأمان في مساحة عمل مختلفة

يحلل Microsoft Azure Sentinel جميع البيانات التي تم إدخالها في مساحات عمل تحليلات السجل التي تم تمكين Microsoft Azure Sentinel عليها. من الأفضل أن يكون لديك مساحة عمل منفصلة لبيانات العمليات غير الأمنية، للتأكد من أنها لا تتكبد تكاليف Microsoft Azure Sentinel.

عند البحث عن التهديدات أو التحقيق فيها في Microsoft Azure Sentinel، قد تحتاج إلى الوصول إلى البيانات التشغيلية المخزنة في مساحات عمل Azure Log Analytics المستقلة هذه. يمكنك الوصول إلى هذه البيانات باستخدام الاستعلام عبر مساحات العمل في تجربة استكشاف السجل والمصنفات. ومع ذلك، لا يمكنك استخدام قواعد تحليلات مساحات العمل المشتركة واستعلامات البحث ما لم يتم تمكين Microsoft Azure Sentinel في جميع مساحات العمل.

تحديد أنواع السجلات منخفضة التكلفة للبيانات عالية الحجم وذات القيمة المنخفضة

في حين أن سجلات التحليلات القياسية هي الأكثر ملاءمة للكشف المستمر عن التهديدات في الوقت الحقيقي، فإن نوعين من السجلات الأخرى - السجلات الأساسية والسجلات المساعدة - أكثر ملاءمة للاستعلام المخصص والبحث عن السجلات المطولة وعالية الحجم وذات القيمة المنخفضة التي لا تكون مطلوبة أو يتم الوصول إليها بشكل متكرر عند الطلب. تمكين استيعاب بيانات السجل الأساسية بتكلفة أقل بكثير، أو استيعاب بيانات السجل المساعدة (الآن في المعاينة) بتكلفة أقل، لجداول البيانات المؤهلة. لمزيد من المعلومات، راجع أسعار Microsoft Azure Sentinel.

• سجل خطط الاستبقاء في Microsoft Sentinel
• مصادر السجل لاستخدامها في استيعاب السجلات المساعدة

تحسين تكاليف Log Analytics مع مجموعات مخصصة

إذا قمت بدمج 100 غيغابايت على الأقل في مساحة عمل Microsoft Sentinel أو مساحات العمل في نفس المنطقة، ففكر في الانتقال إلى مجموعة مخصصة ل Log Analytics لتقليل التكاليف. يجمع مستوى التزام نظام المجموعة المخصص ل Log Analytics حجم البيانات عبر مساحات العمل التي تدمج إجمالا ما مجموعه 100 غيغابايت أو أكثر. لمزيد من المعلومات، راجع مستوى التسعير المبسط للمجموعة المخصصة.

يمكنك إضافة مساحات عمل Microsoft Azure Sentinel متعددة إلى نظام مجموعة Log Analytics المخصص. هناك ميزتان لاستخدام نظام مجموعة Log Analytics المخصصة لـ Microsoft Azure Sentinel:

• تعمل الاستعلامات عبر مساحات العمل بشكل أسرع إذا كانت جميع مساحات العمل المضمنة في الاستعلام موجودة في نظام المجموعة المخصص. لا يزال من الأفضل أن يكون لديك أقل عدد ممكن من مساحات العمل في بيئتك، ولا يزال نظام المجموعة المخصص يحتفظ بحد مساحة عمل 100 للتضمين في استعلام واحد عبر مساحة العمل.

• يمكن لجميع مساحات العمل في نظام المجموعة المخصصة مشاركة فئة التزام تحليلات السجل المحددة في نظام المجموعة. يمكن أن يؤدي عدم الاضطرار إلى الالتزام بفصل مستويات الالتزام بتحليلات السجلات لكل مساحة عمل إلى توفير التكاليف وزيادة الكفاءة. من خلال تمكين نظام مجموعة مخصص، فإنك تلتزم بالحد الأدنى من مستوى التزام Log Analytics الذي يبلغ 100 غيغابايت في اليوم.

فيما يلي بعض الاعتبارات الأخرى للانتقال إلى نظام مجموعة مخصص لتحسين التكلفة:

• الحد الأقصى لعدد نظم المجموعات لكل منطقة والاشتراك هو اثنان.
• يجب أن تكون جميع مساحات العمل المرتبطة بنظام المجموعة في نفس المنطقة.
• الحد الأقصى لمساحات العمل المرتبطة بنظام المجموعة هو 1000.
• يمكنك إلغاء ارتباط مساحة عمل مرتبطة من نظام المجموعة الخاصة بك. عدد عمليات الارتباط في مساحة عمل معينة محدود بعمليتين في فترة 30 يوماً.
• لا يمكنك نقل مساحة عمل حالية إلى نظام مجموعة مفاتيح يديرها العميل (CMK). يجب عليك إنشاء مساحة العمل في نظام المجموعة.
• نقل نظام مجموعة إلى مجموعة موارد أخرى أو اشتراك غير معتمد حاليًا.
• يفشل ارتباط مساحة العمل إلى نظام المجموعة إذا كانت مساحة العمل مرتبطة بنظام مجموعة أخرى.

لمزيد من المعلومات حول نظم المجموعات المخصص، راجع تسجيل نظم المجموعات المخصص في Analytics.

تقليل تكاليف استبقاء البيانات مع الاستبقاء طويل الأجل

يحتفظ Microsoft Sentinel بالبيانات بشكل افتراضي في شكل تفاعلي لأول 90 يوما. لضبط فترة استبقاء البيانات في Log Analytics، حدد Usage and estimated costs في شريط التنقل الأيسر، ثم حدد Data retention، ثم اضبط شريط التمرير.

قد تفقد بيانات أمان Microsoft Azure Sentinel بعضاً من قيمتها بعد بضعة أشهر. قد لا يحتاج مستخدمو مركز عمليات الأمان (SOC) إلى الوصول إلى البيانات القديمة بشكل متكرر مثل البيانات الأحدث، ولكنهم قد يحتاجون إلى الوصول إلى البيانات لإجراء تحقيقات متفرقة أو لأغراض التدقيق.

لمساعدتك في تقليل تكاليف استبقاء بيانات Microsoft Sentinel، يوفر Azure Monitor الآن استبقاء طويل الأجل. لا يزال من الممكن الاحتفاظ بالبيانات التي تتقادم من حالة الاستبقاء التفاعلي لمدة تصل إلى 12 عاما، بتكلفة أقل بكثير، ومع قيود على استخدامها. لمزيد من المعلومات، راجع إدارة استبقاء البيانات في مساحة عمل Log Analytics.

يمكنك تقليل التكاليف بشكل أكبر عن طريق تسجيل الجداول التي تحتوي على بيانات أمان ثانوية في خطة السجلات الإضافية (الآن في المعاينة). تسمح لك هذه الخطة بتخزين سجلات عالية الحجم ومنخفضة القيمة بسعر منخفض، مع فترة استبقاء تفاعلية أقل تكلفة مدتها 30 يوما في البداية للسماح بالتلخيص والاستعلام الأساسي. لمعرفة المزيد حول خطة السجلات الإضافية والخطط الأخرى، راجع خطط استبقاء السجل في Microsoft Sentinel. بينما تظل خطة السجلات المساعدة في المعاينة، لديك أيضا خيار تسجيل هذه الجداول في خطة السجلات الأساسية. توفر السجلات الأساسية وظائف مماثلة للسجلات المساعدة، ولكن مع توفير أقل في التكلفة.

استخدام قواعد جمع البيانات لـ Windows Security Events

يمكّنك موصل Windows Security Events من بث أحداث الأمان من أي جهاز كمبيوتر يعمل بنظام Windows Server ومتصل بمساحة عمل Microsoft Azure Sentinel، بما في ذلك الخوادم الفعلية أو الظاهرية أو الداخلية أو في أي شبكة سحابية. يتضمن هذا الموصل دعما لعامل Azure Monitor، الذي يستخدم قواعد جمع البيانات لتعريف البيانات المراد جمعها من كل عامل.

تمكّنك قواعد جمع البيانات من إدارة إعدادات المجموعة على نطاق واسع، مع السماح بتكوينات فريدة محددة النطاق لمجموعات فرعية من الأجهزة. لمزيد من المعلومات، راجع تكوين جمع البيانات لعامل Azure Monitor.

بالإضافة إلى مجموعات الأحداث المحددة مسبقاً التي يمكنك تحديدها لاستيعابها، مثل جميع الأحداث أو الحد الأدنى أو العام، تتيح لك قواعد جمع البيانات إنشاء فلاتر مخصصة وتحديد أحداث معينة لاستيعابها. يستخدم عامل Azure Monitor هذه القواعد لتصفية البيانات في المصدر، ثم استيعاب الأحداث التي حددتها فقط، مع ترك كل شيء آخر وراءه. يمكن أن يساعدك تحديد أحداث معينة لاستيعابها في تحسين تكاليفك وتوفير المزيد.

الخطوات التالية

• تعرف على كيفية تحسين استثمارك السحابي باستخدام Microsoft Cost Management.
• تعرف على المزيد حول إدارة التكاليف مع تحليل التكلفة.
• تعرف على كيفية منع التكاليف غير المتوقعة.
• خذ دورة التعلم الموجه لإدارة التكلفة.
• لمزيد من النصائح بشأن تقليل حجم بيانات Log Analytics، راجع أفضل ممارسات Azure Monitor - إدارة التكلفة .