blog

Servicios de Azure que pagas pero no aprovechas: Cómo optimizar costos

Escrito por David Garcia | 4/08/2025 08:02:55 PM

Introducción: 

“Muchas organizaciones tienen suscripciones Microsoft o Azure con capacidades avanzadas como Defender for Cloud, Microsoft Sentinel o Azure Automation… pero jamás los activan. ¿Resultado? Costos hundidos y seguridad infrautilizada.”

 Contexto

Una entidad financiera regional contrató una suscripción Azure con cobertura de seguridad avanzada (Microsoft Defender for Cloud, Microsoft Sentinel, Defender for Servers) como parte de un bundle de Microsoft 365 E5 y Azure Security Center.

Tras una revisión de su postura de ciberseguridad y sus costos en Azure, el equipo encontró que más del 70% de los servicios incluidos estaban desactivados o mal configurados, y aún así se facturaban parcialmente por instancias asociadas.
 Servicios críticos desaprovechados
 

Microsoft Defender for Cloud

  • Activo parcialmente, pero sin alertas ni recomendaciones revisadas.
  • Solo monitoreaba 3 de 14 suscripciones y no generaba Secure Scores.
  • Políticas de seguridad no aplicadas a entornos híbridos ni a máquinas on-premises integradas por Arc.

Microsoft Sentinel (SIEM nativo en la nube)

  • Activado pero sin fuentes conectadas (ni Microsoft 365, ni Azure AD, ni logs de firewalls).
  • Inutilizado como orquestador (SOAR) pese a su capacidad para automatizar respuestas.
  • Costo mínimo facturado por almacenamiento de datos inactivos.

Azure Automation

  • Disponible en todos los tenants pero nunca utilizado para apagar máquinas por horario, limpiar recursos huérfanos o ejecutar scripts de mantenimiento.

Defender for Identity y Defender for Endpoint P2

  • Incluidos en Microsoft 365 E5, pero nunca desplegados ni en piloto.

Costos invisibles y desperdicio de valor

  • Gastos mensuales en Sentinel por ingestión básica… sin uso alguno.
  • Seguridad superficial: muchas máquinas virtuales sin agentes Defender.
  • Falta de visibilidad ante amenazas o movimientos laterales (no había detección de anomalías ni correlación de eventos).

Solución implementada

  1. Activación guiada de Defender for Cloud en todos los entornos.
  2. Integración de Sentinel con fuentes clave: Microsoft 365, Azure AD, firewalls, endpoints.
  3. Uso de plantillas de Azure Automation para shutdown de VMs y limpieza de recursos no etiquetados.
  4. Evaluación de posture score mensual y acciones de mejora priorizadas.
  5. Dashboards Power BI con ahorro proyectado por cada acción de seguridad activada.

Resultados

  • Detección temprana de vulnerabilidades críticas en VMs y SQL Servers.
  • Ahorro del 30% mensual en recursos mal utilizados (VMS innecesarias, logs duplicados, etc.).
  • Mayor visibilidad para el SOC sin comprar soluciones externas adicionales.
  • Automatización de tareas antes manuales (shutdown nocturno, auditoría de compliance).
  • Aprovechamiento completo de las licencias Microsoft E5 sin aumentar presupuesto.

Lecciones aprendidas

  • Tener acceso a herramientas avanzadas no sirve si no se activan ni configuran.
  • Sentinel sin conectores es como una alarma sin sensores.
  • La gobernanza y visibilidad deben activarse con intencionalidad, no asumir que “ya viene configurado”.
  • Hay ROI oculto en cada servicio no utilizado: es seguridad, visibilidad y control que ya estás pagando.
Ver post completo