Gerenciar e Monitorar custos para o Microsoft Sentinel

Depois de começar a usar os recursos do Microsoft Sentinel, use os recursos de Gerenciamento de Custos para definir orçamentos e monitorar custos. Você também pode examinar os custos previstos e identificar tendências de gastos para identificar áreas em que talvez você queira agir. Com o data lake, você também pode exibir seu uso diretamente no portal do Microsoft Defender.

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como gerenciar e monitorar os custos do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.

Pré-requisitos

Para exibir dados de custo e executar a análise de custo no Gerenciamento de Custos, você deve ter um tipo de conta disponível no Azure, com pelo menos acesso de leitura.

A análise de custo no Gerenciamento de Custos está presente na maioria dos tipos de conta do Azure, mas não em todos. Para exibir a lista completa dos tipos de contas compatíveis, confira Entender os dados do Gerenciamento de Custos.

Para obter informações sobre como atribuir o acesso aos dados do Gerenciamento de Custos da Microsoft, confira Atribuir acesso aos dados.

Gerenciar e monitorar os custos da camada de análise

Há custos para usar os recursos do Azure com o Microsoft Sentinel. Os custos unitários de uso dos recursos do Azure variam de acordo com os intervalos de tempo (segundos, minutos, horas e dias) ou com a unidade de uso (bytes, megabytes e assim por diante).

Exibir custos usando análise de custo

Assim que o Microsoft Sentinel começa a ingerir dados faturáveis, ele incorre em custos. Exiba esses custos usando a análise de custo no portal do Azure. Para obter mais informações, consulte Começar a usar a análise de custos.

Ao usar a análise de custos, você vê os custos do Microsoft Sentinel em grafos e tabelas para diferentes intervalos de tempo. Alguns exemplos são por dia, mês atual e anterior e ano. Você também visualiza os custos em relação aos orçamentos e os custos previstos. Mudando para exibições mais extensas ao longo do tempo pode ajudar você a identificar tendências de gastos. E você verá onde pode ter ocorrido excessos de gastos. Se você criou orçamentos, também pode ver facilmente o local em que eles foram excedidos.

O hub Gerenciamento de Custos da Microsoft + Billing fornece funcionalidade útil. Depois de abrir o Gerenciamento de Custos e Cobrança no portal do Azure, selecione Gerenciamento de Custos no painel de navegação à esquerda e escolha o escopo ou conjunto de recursos a serem investigados, como uma assinatura ou grupo de recursos do Azure.

A tela Análise de custo mostra exibições detalhadas do uso e dos custos do Azure, com a opção de aplicar uma variedade de controles e filtros.

Por exemplo, para ver os gráficos de seus custos diários por um determinado período de tempo:

1. Selecione o cursor suspenso no campo Exibição e selecione Custos acumulados ou Custos diários.

2. Selecione o cursor suspenso no campo de data e selecione um intervalo de datas.

3. Selecione o cursor suspenso ao lado de Granularidade e selecione Diária.

   Os custos mostrados na imagem a seguir são apenas para fins ilustrativos. Eles não têm a finalidade de refletir os custos reais.

   

Você também pode aplicar outros controles. Por exemplo, para exibir apenas os custos associados ao Microsoft Sentinel, selecione Adicionar filtro, selecione Nome do serviço e selecione os nomes de serviço Sentinel, Log Analyticse Azure Monitor.

Os volumes de ingestão de dados da camada de análise do Microsoft Sentinel aparecem sob Insights de Segurança em alguns gráficos de uso do portal.

Os níveis de preços clássicos do Microsoft Sentinel não incluem cobranças do Log Analytics, portanto, você pode ver essas cobranças cobradas separadamente. Os preços simplificados do Microsoft Sentinel combinam os dois custos em um conjunto de camadas. Para saber mais sobre os tipos de preço simplificados do Microsoft Sentinel, consulte Tipos de preço simplificados.

Para obter mais informações sobre como reduzir custos, consulte Criar orçamentos e Reduzir custos no Microsoft Sentinel.

Execute consultas para entender a ingestão de dados do nível de análise

O Microsoft Sentinel usa uma linguagem de consulta extensiva para analisar, interagir e derivar insights de grandes volumes de dados operacionais em segundos. Aqui estão algumas consultas do Kusto que você pode usar para entender seu volume de ingestão de dados.

Execute a seguinte consulta para mostrar o volume de ingestão de dados por solução:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados por tipo de dados:

Usage
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType
| render columnchart

Execute a seguinte consulta para mostrar o volume de ingestão de dados tanto por solução quanto por tipo de dados:

Usage
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by Solution, DataType
| extend Solution = iff(Solution == "SecurityInsights", "AzureSentinel", Solution)
| sort by Solution asc, DataType asc

Consulte mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:

• operador where
• operador extend
• operador summarize
• operador de renderização
• operador de classificação
• função iff()
• função ago()
• função now()
• função bin()
• função startofday()
• função de agregação count()
• função de agregação sum()

Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos:

• Referência rápida do KQL
• Recursos de aprendizagem da Linguagem de Consulta Kusto

Implantar uma pasta de trabalho para visualizar a ingestão de dados na camada de análise

A pasta de trabalho de Relatório de Uso do Workspace fornece o consumo de dados, o custo e as estatísticas de uso do workspace. A pasta de trabalho fornece o status de ingestão de dados e a quantidade de dados gratuitos e faturáveis do workspace. Você pode usar a lógica da pasta de trabalho para monitorar os custos e a ingestão de dados, bem como para criar exibições personalizadas e alertas baseados em regras.

Esta pasta de trabalho também fornece detalhes granulares de ingestão. A pasta de trabalho divide os dados em seu workspace por tabela de dados e fornece volumes por tabela e por entrada para ajudar você a entender melhor seus padrões de ingestão.

Para habilitar a pasta de trabalho de Relatório de Uso do Workspace:

1. No painel de navegação à esquerda do Microsoft Sentinel, selecione Gerenciamento de ameaças>Pastas de trabalho.
2. Insira Uso do workspace na barra Pesquisa e selecione Relatório de Uso do Workspace.
3. Selecione o Modelo de exibição para usar a pasta de trabalho como está ou selecione Salvar para criar uma cópia editável da pasta de trabalho. Se você salvar uma cópia, selecione Exibir pasta de trabalho salva.
4. Na pasta de trabalho, selecione a Assinatura e o Workspace que você deseja exibir e defina o TimeRange para o período que você deseja ver. Você pode definir a opção Mostrar ajuda para Sim a fim de exibir explicações in-loco na pasta de trabalho.

Exportar dados de custo

Você também pode exportar seus dados de custo para uma conta de armazenamento. Isso é útil quando você ou outras pessoas precisam realizar mais análises de dados para custos. Por exemplo, uma equipe de finanças pode analisar os dados usando o Excel ou o Power BI. Você pode exportar seus custos em uma agenda diária, semanal ou mensal e definir um intervalo de datas personalizado. A exportação de dados de custo é a maneira recomendada de recuperar conjuntos de dados de custos.

Criar orçamentos

Você pode criar orçamentos para controlar os custos e criar alertas que notifiquem automaticamente os stakeholders sobre anomalias de gastos e riscos de gastos excessivos. Os alertas são baseados nos gastos comparados com os limites de orçamento e de custo. Orçamentos e alertas são criados para assinaturas e grupos de recursos do Azure, para que sejam úteis como parte de uma estratégia de monitoramento de custo geral.

Você pode criar orçamentos com filtros para recursos ou serviços específicos no Azure se quiser granularidade mais fina em seu monitoramento. Os filtros ajudam a garantir que você não crie acidentalmente novos recursos com custo adicional. Para obter mais informações sobre as opções de filtro disponíveis ao criar um orçamento, confira Opções de grupo e filtro.

Usar um guia estratégico para alertas de gerenciamento de custos

Para ajudá-lo a controlar o orçamento da camada de Análise, você pode criar um guia estratégico de gerenciamento de custos. O guia estratégico lhe enviará um alerta se o seu workspace do Microsoft Sentinel exceder, dentro de um determinado período de tempo, um orçamento definido por você.

A comunidade do GitHub do Microsoft Sentinel fornece o guia estratégico de gerenciamento de custos Send-IngestionCostAlert no GitHub. Este guia estratégico é ativado por um gatilho de recorrência e oferece a você um alto nível de flexibilidade. Você pode controlar a frequência de execução, o volume de ingestão e a mensagem a ser disparada, com base em suas necessidades.

Gerenciar e monitorar os custos da camada do data lake

Depois de integrado, o uso de recursos da camada data lake é cobrado usando novos medidores de data lake do Microsoft Sentinel. Para obter mais informações sobre os novos medidores, consulte a camada data lake.

Gerenciamento de custos do Microsoft Sentinel no portal do Microsoft Defender

A nova experiência de gerenciamento de custos, atualmente em versão prévia e em Microsoft Sentinel>Gerenciamento de Custos no portal do Microsoft Defender, ajuda você a gerenciar e monitorar os custos associados ao uso da camada de armazenamento em data lake.

Usage

A página Uso fornece pontos de entrada para recursos relevantes de controle de custos e um link direto para relatórios e configurações de uso, para que você possa navegar até a ação de gerenciamento de custos mais relevante para você.

• Relatórios de uso – visualiza seu uso por funcionalidade ao longo do tempo. Ele pode ser encontrado em Recursos cobrados no momento.
• Gerenciamento de custos – leva você à folha Gerenciamento de Custos + Cobrança no portal do Azure para ajudar a controlar os custos e criar orçamentos. Para obter mais informações sobre como usar o Gerenciamento de Custos + Cobrança no portal do Azure, consulte Começar a usar a análise de custos.
• Previsão de custo – leva você a um relatório de previsão na folha Gerenciamento de Custos + Cobrança no portal do Azure. Para obter mais informações sobre como usar a funcionalidade de previsão, consulte Exibir os custos de previsão.
• Configurações do Microsoft Sentinel – Abre as configurações do Microsoft Sentinel para mostrar suas informações de cobrança relevantes, como assinatura e grupo de recursos selecionados para o data lake.

Ao selecionar um dos recursos em relatórios de uso, você pode exibir qualquer um dos seguintes relatórios:

• Relatório do driver de custo – Exibe os 10 principais drivers de custo para a capacidade e apresenta uma análise detalhada do uso por drivers de custo. Este relatório está disponível para ingestão de data lake, armazenamento de data lake e processamento de dados. O único uso capturado para esses relatórios é o uso faturável.

  

• Relatório de tendência geral – Exibe uma linha de tendência do seu uso faturável para essa funcionalidade. No momento, este relatório está disponível para consultas do data lake e insights de dados avançados e será disponibilizado para os outros recursos ao longo do tempo.

  

Você pode usar um filtro para ajustar o período padrão de um mês. Um cartão mostra o uso total do tempo filtrado. Se dados históricos suficientes estiverem disponíveis, a alteração da tendência em relação ao período anterior será exibida.

Notification

A página Notificação permite que você configure limites de notificação para cada funcionalidade para que você possa receber notificações por email quando seu uso atingir esse limite. Definir esses limites ajuda você a controlar seu uso e evitar encargos inesperados. Atualmente, as notificações por email vão para o administrador de cobrança que as configurou.

Para configurar uma política de limite de notificação em um recurso:

1. Selecione Configuração ao lado da funcionalidade.

   

2. No painel Criar nova política exibida, insira um valor para o limite total.

   

3. Insira um valor de porcentagem de alerta para definir o limite de alerta para o valor total definido anteriormente e selecione Avançar.

   

4. Examine as configurações e selecione Enviar.

   

Usando o pagamento antecipado do Azure com o Microsoft Sentinel

Os encargos do Microsoft Sentinel podem ser pagos com seu crédito de pagamento antecipado do Azure. Você não pode usar o crédito de pagamento antecipado do Azure para pagar organizações que não são da Microsoft por seus produtos e serviços ou produtos do Azure Marketplace.

Próximas etapas

• Reduzir custos para o Microsoft Sentinel
• Saiba como otimizar seus investimentos na nuvem com o Gerenciamento de Custos da Microsoft.
• Saiba mais sobre como gerenciar custos com a análise de custos.
• Saiba mais sobre como evitar custos inesperados.
• Faça o curso de aprendizado orientado de Gerenciamento de Custos.
• Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, confira Práticas recomendadas do Azure Monitor – Gerenciamento de custos.