Introduction
Les coûts associés à Microsoft Sentinel peuvent rapidement devenir démesurés si vos logs sont mal catégorisés ou si des volumes inutiles sont ingérés dans des niveaux de stockage coûteux. Cet article vous guide à travers une optimisation précise pour réduire ces dépenses : ajustez les règles d’ingestion, triez les données par importance et validez vos économies grâce à KQL.
[IMAGE:index:images/sentinel-cost-path.svg:Flux de coût Microsoft Sentinel]
Bon Ă savoir
Conditions préalables
Avant de suivre ce guide, assurez-vous de disposer des éléments suivants :
- Une souscription Azure active avec Microsoft Sentinel intégré : les ajustements et les choix de tables n’ont d’impact que si votre espace de travail est configuré.
- Les autorisations Log Analytics Contributor et Data (manage) dans le portail Defender : nécessaires pour modifier les règles de tables et appliquer des transformations.
- L’Azure CLI installé et un shell compatible KQL : certaines étapes fonctionnent mieux via des scripts.
- Au moins une source bruyante dans votre espace de travail Sentinel : les résultats les plus immédiats proviennent de la réduction des volumes excessifs au niveau des tables.
Étape 1 : Analyser les coûts
Commencez par examiner vos volumes de données et leurs niveaux de stockage. Microsoft Sentinel divise les coûts en plusieurs axes :
| Que vérifier | Pourquoi c’est important | Ce qui change souvent |
|---|---|---|
| Ingestion au tier Analytics | La voie coûteuse pour les détections et investigations actives | Table la plus bruyante |
| Rétention | Les données inutiles coûtent longtemps après leur utilisation utile | Tables anciennes rarement interrogées |
| Commitment tier | Un volume régulier peut réduire les frais unitaires | Équipes avec des volumes stabilisés |
| Cluster dédié | Les clusters partagés regroupent les volumes régionaux | Grand domaine avec plusieurs espaces de travail |
Analyse pratique avec KQL
Identifiez les tables qui consomment le plus de stockage en utilisant les exemples suivants :
1Usage2| where TimeGenerated > ago(7d)3| where IsBillable == true4| summarize GB = sum(_BilledSize) / 1024 / 1024 / 1024 by DataType5| top 10 by GB descCela vous permettra de classer les tables par volume facturé. Ensuite, analysez les modèles de croissance horaire pour cibler les sources les plus problématiques :
1Usage2| where TimeGenerated > ago(24h)3| where IsBillable == true4| where DataType in ('SecurityEvent', 'CommonSecurityLog')5| summarize GB = sum(_BilledSize) / 1024 / 1024 / 1024 by bin(TimeGenerated, 1h), DataType6| order by TimeGenerated ascAttention
Étape 2 : Filtrer les données avant ingestion
Appliquez des règles de filtrage à l’aide des Data Collection Rules (DCR) pour bloquer les événements inutiles avant qu’ils ne soient facturés. Voici un exemple de transformation simple :
1{2 "transformKql": "source | where EventID in (4798, 4799)"3}Routage basé sur la gravité
Si vous souhaitez classer les données par gravité au lieu de les supprimer, utilisez un logique de routage comme indiqué ci-dessous :
1source2| extend Route = iif(Severity in ('High', 'Critical'), 'Analytics', 'DataLake')3| project TimeGenerated, Computer, Severity, RouteÉtape 3 : Affecter les bonnes données aux bons tiers
Une fois les flux nettoyés, configurez vos niveaux de stockage en fonction de la pertinence des données.
| Tier | Utilisation | Ce que vous perdez |
|---|---|---|
| Analytics | Données primaires pour détections actives, enquête | Coût le plus élevé |
| Basic | Tables interrogées sans alertes en temps réel | Moins de profondeur interactive |
| Data Lake | Données secondaires pour rétention longue | Pas de capacité d’alertes en temps réel |
Astuce
Étape 4 : Valider et déployer dans l’ordre
La validation est indispensable pour parvenir à des économies mesurables. Procédez comme suit :
Vérifier le modèle de facturation courant
Garantissez que le modèle dans la page de facturation correspond aux plans des tables configurées.
Utiliser les données gratuites disponibles
Réduisez les octets facturables là où des sources gratuites s’appliquent.
Filtrer les sources les plus bruyantes
Appliquez la logique DCR aux tables identifiées comme les plus encombrantes pour réduire les volumes.
Réassigner les données secondaires aux tiers économiques
Assurez-vous que la couverture des alertes reste intacte pour les informations importantes.
Revoir les clusters ou le tier après stabilisation
Organisez les clusters ou ajustez les commitments tiers une fois les volumes fixes.
Conclusion
Réduire les coûts d'ingestion dans Microsoft Sentinel requiert une approche méthodique : examinez les coûts actuels, filtrez les données inutiles, assignez chaque type de données au tier approprié et validez les économies avec KQL. Suivez cet ordre pour éviter des dépenses inutiles tout en maintenant votre niveau de sécurité.
[IMAGE:index:images/sentinel-tier-decision.svg:DĂ©cision sur les tiers Sentinel]
