Compartilhar via

Estimar custos com a calculadora de custos do Microsoft Defender para Nuvem

A calculadora de custos do Microsoft Defender para Nuvem é uma ferramenta útil para estimar os custos potenciais associados às suas necessidades de segurança da nuvem. Ele permite que você configure diferentes planos e ambientes, fornecendo um detalhamento dos custos, incluindo descontos aplicáveis.

Acessar a calculadora de custos

Para usar a Calculadora de Custos do Defender para Nuvem, vá para a seção Configurações de Ambiente do Microsoft Defender para Nuvem. Selecione o botão Calculadora de Custos localizado na seção superior da interface.

Captura de tela do botão da calculadora de custos em Configurações do Ambiente.

Configurar os planos e ambientes do Defender para Nuvem

Na primeira página da calculadora, selecione o botão Adicionar Ativos para começar a adicionar ativos ao cálculo de custo. Você tem três métodos para adicionar ativos:

  • Adicionar ativos de ambientes integrados: recomendado — Adicionar ativos de ambientes já integrados ao Defender para Nuvem. Este método abrange todos os planos do Azure e funciona mais rápido do que a opção de script.
  • Adicionar ativos com um script: baixe e execute um script para adicionar automaticamente ativos existentes. Recomendado para ambientes (como projetos AWS ou GCP) que ainda não estão integrados ao Azure.
  • Adicionar ativos personalizados: adicione ativos manualmente sem usar a automação.

Captura de tela de como adicionar ativos na calculadora de custos.

Observação

A calculadora de custos não considera planos de reserva para o Defender para Nuvem.

Adicionar ativos de ambientes integrados

Dica

Este método é recomendado para ambientes do Azure porque abrange todos os planos e fornece resultados mais rápidos do que o uso de scripts.

  1. Selecione na lista de ambientes do Azure já integrados ao Defender para Nuvem para incluir no cálculo de custo.

    Observação

    A calculadora descobre os recursos para os quais você tem permissões.

  2. Escolha os planos. A calculadora estima os custos com base em suas seleções e em descontos existentes.

Captura de tela de como atribuir ativos integrados.

Adicionar ativos com um script

Observação

Este método é recomendado para ambientes que ainda não estão integrados ao Azure, como projetos AWS ou GCP.

  1. Escolha o tipo de ambiente (Azure, AWS ou GCP) e copie o script para um novo arquivo *.ps1.

    Observação

    O script coleta apenas informações às quais o usuário que o executa tem acesso.

  2. Execute o script em seu ambiente do PowerShell 7.X usando uma conta de usuário com privilégios. O script coleta informações sobre seus ativos faturáveis e cria um arquivo CSV. Ele coleta informações em duas etapas. Primeiro, ele coleta o número atual de ativos faturáveis que geralmente permanecem constantes. Em segundo lugar, ele coleta informações sobre os ativos faturáveis que podem mudar muito durante o mês. Para esses ativos, ele verifica o uso nos últimos 30 dias para avaliar o custo. Você pode parar o script após a primeira etapa, o que leva alguns segundos. Ou você pode continuar coletando os últimos 30 dias de uso para ativos dinâmicos, o que pode levar mais tempo em contas grandes.

  3. Carregue esse arquivo CSV no assistente em que você baixou o script.

  4. Selecione os planos desejados do Defender para Nuvem. A calculadora estima os custos com base na sua seleção e nos descontos existentes.

Observação

  • Os planos de reserva do Defender para Nuvem não são considerados.
  • Para APIs do Defender: ao calcular o custo com base no número de chamadas à API nos últimos 30 dias, selecionamos automaticamente o melhor plano do Defender para APIs para você. Se não houver chamadas à API nos últimos 30 dias, desabilitaremos automaticamente o plano para fins de cálculo.

Captura de tela de como adicionar ativos com um script.

Permissões necessárias para scripts

Esta seção fornece uma visão geral das permissões necessárias para executar os scripts para cada provedor de nuvem.

Azure

Para executar corretamente esse script para cada assinatura, a conta que você usa precisa das seguintes permissões:

  • Descobrir e listar recursos (incluindo máquinas virtuais, contas de armazenamento, serviços do APIM, contas do Cosmos DB e outros recursos).

  • Consultar o Resource Graph (por meio do Search-AzGraph).

  • Ler métricas (por meio do Get-AzMetric e das APIs do Azure Monitor/Insights).

Função interna recomendada:

Na maioria dos casos, a função Leitorno escopo da assinatura é suficiente. A função Leitor fornece os seguintes recursos básicos necessários para este script:

  • Ler todos os tipos de recursos (para que você possa listar e analisar itens como Contas de Armazenamento, VMs, Cosmos DB e APIM etc.).
  • Ler métricas (Microsoft.Insights/metrics/read) para que as chamadas a consultas REST do Azure Monitor ou Get-AzMetric sejam bem-sucedidas.
  • As Consultas do Resource Graph funcionam desde que você tenha pelo menos acesso de leitura a esses recursos na assinatura.

Observação

Se você quiser ter certeza de que tem as permissões de métrica necessárias, também pode usar a função Leitor de Monitoramento; no entanto, a função Leitor padrão já inclui acesso de leitura às métricas e geralmente é tudo o que você precisa.

Se você já tiver funções de Colaborador ou Proprietário:

  • Colaborador ou Proprietário na assinatura é mais do que suficiente (essas funções têm privilégios mais altos que Leitor).
  • O script não executa a criação nem a exclusão de recursos. Portanto, a concessão de funções de alto nível (como Colaborador/Proprietário) para a única finalidade da coleta de dados pode ser um exagero de uma perspectiva de privilégio mínimo.

Resumo:

Conceder ao usuário ou ao principal de serviço a função Leitor (ou qualquer função com privilégios mais altos) em cada assinatura que você deseja consultar garante que o script possa:

  • Recuperar a lista de assinaturas.
  • Enumerar e ler todas as informações de recursos relevantes (via REST ou Az PowerShell).
  • Buscar as métricas necessárias (solicitações da APIM, consumo de RU do Cosmos DB, entrada de Contas de Armazenamento etc.).
  • Executar consultas do Resource Graph sem problemas.
AWS

O script da AWS dá suporte a dois fluxos de descoberta:

  • Descoberta de conta única — Descobre recursos em uma única conta da AWS
  • Descoberta da organização — Descobre recursos em todas as contas de membro em uma organização da AWS
Descoberta de conta única

Para descoberta de conta única, a visão geral a seguir descreve as permissões que sua identidade do AWS (usuário ou função) precisa para executar esse script com sucesso. O script enumera os recursos (EC2, RDS, EKS, S3 etc.) e busca metadados para esses recursos. Ele não cria, modifica ou exclui recursos, portanto, o acesso somente leitura é suficiente na maioria dos casos.

Política gerenciada da AWS: ReadOnlyAccess ou ViewOnlyAccess:

A abordagem mais simples é anexar uma das políticas internas somente leitura da AWS à entidade de segurança do IAM (usuário ou função) que executa esse script. Os exemplos incluem:

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Uma dessas políticas abrange as permissões de descrever e listar para a maioria dos serviços da AWS. Se a política de segurança do seu ambiente permitir, ReadOnlyAccess é a maneira mais fácil de garantir que o script funcione em todos os recursos da AWS que ele enumera.

Principais serviços e permissões necessárias:

Se você precisar de uma abordagem mais granular com uma política do IAM personalizada, os seguintes serviços e permissões serão necessários:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (para recuperar informações de vCPU/núcleo)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Auto Scaling (para grupos de nós do EKS subjacentes)
    • autoscaling:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (para recuperar a ID da conta da AWS)

Além disso, se você precisar listar outros recursos não mostrados no script ou se planeja expandir os recursos do script, conceda as ações apropriadas Describe*, List*e Get* conforme necessário.

Descoberta da organização

Para a descoberta em toda a organização, você precisa:

  • Na conta de gerenciamento: permissão para listar todas as contas na organização

    • organizations:ListAccounts

  • Em todas as contas de membro: uma função com as mesmas permissões descritas para descoberta de conta única (ReadOnlyAccess ou as permissões personalizadas listadas acima)

Configurar a descoberta da organização:

  1. Criar uma função do IAM em cada conta de membro com as permissões de leitura necessárias (conforme descrito na descoberta de conta única)
  2. Configurar a função para confiar na entidade de segurança que executa o script de descoberta
  3. Certifique-se de que a entidade de segurança que executa o script tem:
    • Permissão para assumir a função em cada conta de membro
    • A permissão organizations:ListAccounts na conta de gerenciamento

Observação

O fluxo de descoberta da organização itera automaticamente por meio de todas as contas de membro em que a função configurada está acessível.

Resumo:

  • A maneira mais simples é anexar a política interna ReadOnlyAccess da AWS, que já inclui todas as ações necessárias para listar e descrever os recursos de EC2, RDS, EKS, S3, Dimensionamento Automático e chamar o STS para obter as informações da sua conta.
  • Para garantir privilégios suficientes, crie uma política personalizada somente leitura com as ações Describe*, List*e Get* acima para EC2, RDS, EKS, Dimensionamento Automático, S3 e STS.

Qualquer abordagem fornece ao script permissões suficientes para:

  • Listar regiões.
  • Recuperar metadados de instância do EC2.
  • Recuperar instâncias do RDS.
  • Listar e descrever clusters do EKS e grupos de nós (e os grupos de Auto Scaling subjacentes).
  • Listar buckets do S3.
  • Obter a ID da conta da AWS por meio do STS.

Este conjunto de permissões garante que o script possa descobrir recursos e buscar os metadados relevantes sem criar, modificar ou excluir nada.

GCP

A visão geral a seguir descreve as permissões que sua conta de serviço ou usuário do GCP precisa para executar esse script com sucesso. Você pode usar o script para descobrir recursos em um único projeto ou em vários projetos, dependendo da sua seleção. Para estimar os custos de vários projetos, verifique se sua conta tem as permissões necessárias em cada projeto que você quer incluir. O script lista e descreve recursos como instâncias de VM, bancos de dados SQL de nuvem, clusters GKE e buckets GCS em todos os projetos selecionados.

A abordagem mais simples para garantir o acesso somente leitura em todos esses recursos é conceder à sua conta de usuário ou de serviço a função roles/viewer no nível do projeto (o mesmo projeto que você seleciona por meio de gcloud config set project).

A função roles/viewer inclui acesso somente leitura à maioria dos serviços GCP dentro desse projeto, incluindo as permissões necessárias para:

  • Mecanismo de Computação (listar instâncias de VM, modelos de instância, tipos de computador e muito mais).
  • SQL de nuvem (listar instâncias do SQL).
  • Mecanismo do Kubernetes (listar clusters, pools de nós muito mais).
  • Armazenamento em Nuvem (listar buckets).

Permissões granulares por serviço (se estiver criando uma função personalizada):

Se você preferir uma abordagem mais granular, crie uma função de IAM personalizada ou um conjunto de funções que concedem coletivamente apenas as ações necessárias de read-list-describe para cada serviço:

  • Mecanismo de Computação (para Instâncias de VM, Regiões, Modelos de Instância, Gerenciadores de Grupo de Instâncias):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • SQL denuvem:
    • cloudsql.instances.list
  • Mecanismo do Google Kubernetes:
    • container.clusters.list
    • container.clusters.get (necessário ao descrever os clusters)
    • container.nodePools.list
    • container.nodePools.get
  • Armazenamento em Nuvem:
    • storage.buckets.list

O script não cria nem modifica nenhum recurso, portanto, ele não requer permissões de atualização ou exclusão, apenas permissões do tipo listar, obter ou descrever.

Resumo:

  • Usar a função roles/viewer no nível do projeto é a maneira mais rápida e simples de conceder permissões suficientes para que esse script tenha sucesso.
  • Para uma abordagem mais rigorosa de privilégios mínimos, crie ou combine funções personalizadas que incluam apenas as ações relevantes de list, describe e get para Mecanismo de Computação, SQL de Nuvem, GKE e Armazenamento em Nuvem.

Com essas permissões, o script pode:

  • Autenticar (gcloud auth login).
  • Listar as Instâncias de VM, tipos de computador, gerenciadores de grupo de instâncias e recursos semelhantes.
  • Listar instâncias de SQL de Nuvem.
  • Listar e descrever clusters do GKE e pools de nós.
  • Listar buckets do GCS.

Esse acesso em nível de leitura permite enumerar contagens de recursos e coletar metadados sem modificar ou criar recursos.

Atribuir ativos integrados

  1. Selecione na lista de ambientes do Azure já integrados ao Defender para Nuvem para incluir no cálculo de custo.

    Observação

    A calculadora descobre os recursos para os quais você tem permissões.

  2. Escolha os planos. A calculadora estima os custos com base em suas seleções e em descontos existentes.

Captura de tela de como atribuir ativos integrados.

Atribuir ativos personalizados

  1. Escolha um nome para o ambiente personalizado.
  2. Especifique os planos e o número de ativos faturáveis para cada plano.
  3. Selecione os tipos de ativos que você deseja incluir no cálculo de custo.
  4. A calculadora estima os custos com base em suas entradas e nos descontos existentes.

Observação

A calculadora não considera planos de reserva para o Defender para Nuvem.

Captura de tela de como adicionar um ambiente personalizado.

Ajustar o relatório

Depois de gerar o relatório, você pode ajustar os planos e o número de ativos faturáveis:

  1. Selecione o ambiente que você quer modificar selecionando o ícone editar (lápis).
  2. Uma página de configuração é exibida, em que você pode ajustar os planos, o número de ativos faturáveis e as horas mensais médias.
  3. Selecione Recalcular para atualizar a estimativa de custo.

Exportar o relatório

Quando estiver satisfeito com o relatório, você poderá exportá-lo como um arquivo CSV:

  1. Selecione Exportar para CSV na parte inferior do painel Resumo à direita.
  2. As informações de custo são baixadas como um arquivo CSV.

Perguntas frequentes

O que é a calculadora de custos?

A calculadora de custos é uma ferramenta que simplifica a estimativa de custos para suas necessidades de proteção de segurança. Quando você define o escopo de seus planos e ambientes desejados, a calculadora fornece um detalhamento de possíveis despesas, incluindo quaisquer descontos aplicáveis.

Como funciona a calculadora de custos?

Selecione os ambientes e os planos que quer habilitar. A calculadora executa um processo de descoberta para preencher automaticamente o número de unidades faturáveis para cada plano por ambiente. Você também pode ajustar manualmente as quantidades de unidade e os níveis de desconto.

O que é o processo de descoberta?

O processo de descoberta gera um relatório do ambiente selecionado, incluindo o inventário de ativos faturáveis pelos diversos planos do Defender para Nuvem. Esse processo é baseado nas permissões do usuário e no estado do ambiente no momento da descoberta. Para ambientes grandes, esse processo pode levar cerca de 30 a 60 minutos, pois também faz a amostragem de ativos dinâmicos.

Preciso conceder alguma permissão especial para a calculadora de custos executar o processo de descoberta?

A calculadora de custos usa suas permissões existentes para executar o script e executar a descoberta automaticamente. Ela coleta os dados necessários sem exigir mais direitos de acesso. Para ver quais permissões você precisa para executar o script, veja a seção Permissões necessárias para os scripts.

As estimativas preveem com precisão meus custos?

A calculadora fornece uma estimativa com base nas informações disponíveis quando o script é executado. Vários fatores podem influenciar o custo final, portanto, você deve considerá-lo um cálculo aproximado.

O que são as unidades faturáveis?

O custo dos planos é baseado nas unidades que eles protegem. Cada plano cobra por um tipo de unidade diferente, que você pode encontrar na página de configurações do ambiente do Microsoft Defender para Nuvem.

Posso ajustar as estimativas manualmente?

Sim, a calculadora de custos dá suporte à coleta automática de dados e ajustes manuais. Você pode modificar a quantidade de unidades e os níveis de desconto para refletir melhor suas necessidades específicas e ver como essas alterações afetam o custo geral.

A calculadora dá suporte a vários provedores de nuvem?

Sim, ela oferece suporte a várias nuvens, garantindo que você possa obter estimativas de custo precisas, não importando o provedor de nuvem.

Como faço para compartilhar minha estimativa de custo?

Depois de gerar sua estimativa de custo, você poderá exportá-la e compartilhá-la facilmente para planejamento e aprovações orçamentárias. Esse recurso garante que todos os stakeholders tenham acesso às informações necessárias.

Onde posso obter ajuda se tiver dúvidas?

Nossa equipe de suporte está pronta para ajudar com quaisquer perguntas ou preocupações que você possa ter. Entre em contato conosco para obter ajuda.

Como faço para experimentar a calculadora de custos?

Experimente a nova calculadora de custos e veja seus benefícios. Acesse a ferramenta e comece a definir o escopo de que sua proteção precisa. Para usar a Calculadora de Custos do Defender para Nuvem, acesse as configurações do ambiente do Microsoft Defender para Nuvem e selecione o botão Calculadora de Custos.

Conteúdo relacionado

  • Last updated on