Planen Sie Kosten und verstehen Sie die Preise und Abrechnung von Microsoft Sentinel
Wenn Sie Ihre Microsoft Sentinel-Bereitstellung planen, wollen Sie normalerweise die Preis- und Abrechnungsmodelle verstehen, um Ihre Kosten zu optimieren. Die Sicherheitsanalysedaten von Microsoft Sentinel werden in einem Azure Monitor Log Analytics-Arbeitsbereich gespeichert. Die Abrechnung basiert auf dem Volumen der Daten, die in Microsoft Sentinel analysiert und im Log Analytics-Arbeitsbereich gespeichert werden. Die Kosten für beide werden in einem vereinfachten Tarif kombiniert. Erfahren Sie mehr über die vereinfachten Tarife, oder erfahren Sie mehr über die Microsoft Sentinel-Preise im Allgemeinen.
Bevor Sie Ressourcen für Microsoft Sentinel hinzufügen, verwenden Sie den Azure-Preisrechner, um Ihre Kosten abzuschätzen.
Kosten für Microsoft Sentinel stellen nur einen Teil der monatlichen Kosten Ihrer Azure-Rechnung dar. Zwar werden in diesem Artikel das Planen der Kosten und die Abrechnung für Microsoft Sentinel erläutert, aber Ihnen werden alle Azure-Dienste und -Ressourcen in Rechnung gestellt, die im Rahmen Ihres Azure-Abonnements verwendet werden, einschließlich Diensten von Partnern.
Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Kostenlose Testversion
Aktivieren Sie Microsoft Sentinel in einem Azure Monitor Log Analytics-Arbeitsbereich, und die ersten 10 GB/Tag sind 31 Tage lang kostenlos. Während des 31-tägigen Testzeitraums entfallen sowohl die Kosten für die Log Analytics-Datenerfassung als auch die Microsoft Sentinel-Analysegebühren bis zu einem Limit von 10 GB/Tag. Diese kostenlose Testversion unterliegt einem Grenzwert von maximal 20 Arbeitsbereichen pro Azure-Mandant.
Nutzungen, die diese Grenzwerte überschreiten, werden gemäß den Preisen berechnet, die auf der Seite Microsoft Sentinel – Preise aufgeführt sind. Gebühren im Zusammenhang mit Azure Monitor Log Analytics für die Datenerfassung und zusätzliche Funktionen für die Automatisierung sowie ‘Bringen Sie Ihr eigenes Maschinen-Lernen mit‘ gelten auch während des kostenlosen Testversionszeitraums weiter.
Während Ihrer kostenlosen Testversion finden Sie Ressourcen für Kostenverwaltung, Schulungen und vieles mehr auf der Registerkarte Neues und Leitfäden > Kostenlose Testversion in Microsoft Sentinel. Auf dieser Registerkarte werden auch Details zu den Datumsangaben Ihrer kostenlosen Testversion und zu der Anzahl der Tage angezeigt, die Sie bis zum Ablauf der Testversion noch haben.
Identifizieren Sie Datenquellen und planen Sie die Kosten entsprechend
Identifizieren Sie die Datenquellen, die Sie erfassen oder in Ihrem Arbeitsbereich in Microsoft Sentinel erfassen möchten. Microsoft Sentinel ermöglicht Ihnen das Einlesen von Daten aus einer oder mehreren Datenquellen. Einige dieser Datenquellen sind kostenlos, für andere werden Gebühren berechnet. Weitere Informationen finden Sie unter Kostenlose Datenquellen.
Schätzen Sie Kosten und Abrechnung, bevor Sie Microsoft Sentinel verwenden
Verwenden Sie den Microsoft Sentinel-Preisrechner, um neue oder sich ändernde Kosten zu schätzen. Geben Sie Microsoft Sentinel in das Feld „Suchen“ ein, und wählen Sie die resultierende Kachel „Microsoft Sentinel“ aus. Mit dem Preisrechner können Sie Ihre wahrscheinlichen Kosten auf Grundlage Ihres erwarteten Datenerfassungs- und -aufbewahrungsaufkommens schätzen.
Geben Sie zum Beispiel die GB an Daten ein, die Sie täglich in Microsoft Sentinel erfassen möchten, sowie die Region für Ihren Arbeitsbereich. Der Rechner gibt die aggregierten monatlichen Kosten für diese Komponenten aus:
- Microsoft Sentinel: Analyseprotokolle und Hilfs-/Basisprotokolle
- Azure Monitor: Aufbewahrung
- Azure Monitor: Datenwiederherstellung
- Azure Monitor: Suchabfragen und Suchaufträge
Grundlegendes zum vollständigen Abrechnungsmodell für Microsoft Sentinel
Microsoft Sentinel bietet ein flexibles und berechenbares Preismodell. Weitere Informationen finden Sie auf der Seite Microsoft Sentinel – Preise. Für Arbeitsbereiche, die älter als Juli 2023 sind, können die Gebühren für den Log Analytics-Arbeitsbereich von denen für Microsoft Sentinel in einem klassischen Tarif getrennt sein. Die zugehörigen Log Analytics-Gebühren finden Sie unter Azure Monitor Log Analytics – Preise.
Microsoft Sentinel wird in Azure-Infrastruktur ausgeführt, für die Kosten anfallen, sobald Sie neue Ressourcen bereitstellen. Es ist wichtig zu verstehen, dass möglicherweise andere zusätzliche Infrastrukturkosten anfallen.
Rechnungsstellung für Microsoft Sentinel
Die Preise basieren auf den Arten von Protokollen, die in einem Arbeitsbereich erfasst werden. Analyseprotokolle machen in der Regel den größten Teil Ihrer hochwertigen Sicherheitsprotokolle aus. Basisprotokolle sind häufig ausführlich und weisen einen geringen Sicherheitswert auf. Es ist wichtig, zu beachten, dass die Abrechnung für alle Protokolltypen und Dienstebenen täglich pro Arbeitsbereich erfolgt.
Analyseprotokolle
Für Analyseprotokolle gibt es zwei Zahlungsoptionen: nutzungsbasierte Bezahlung und Mindestabnahme.
Nutzungsbasierte Zahlung ist das Standardmodell, das auf dem tatsächlich gespeicherten Datenvolumen basiert und optional eine Datenaufbewahrung über 90 Tage hinaus vorsieht. Das Datenvolumen wird in GB (109 Bytes) gemessen.
Log Analytics und Microsoft Sentinel verfügen über einen Mindestabnahme-Preis, der früher als Kapazitätsreservierungen bezeichnet wurde. Diese Tarife werden zu vereinfachten Tarifen kombiniert, die besser vorhersagbar sind und im Vergleich zu Preisen für die Nutzungsbasierte Zahlung erhebliche Einsparungen bieten.
Die Preise für die Mindestabnahme beginnen bei 100 GB pro Tag. Sämtliche Nutzung, die über die Mindestabnahme hinausgeht, wird mit dem von Ihnen für die Mindestabnahme gewählten Satz in Rechnung gestellt. Bei einer Mindestabnahme von 100 GB pro Tag wird Ihnen beispielsweise das zugesagte Datenvolumen von 100 GB zuzüglich jedes weiteren GB pro Tag zum ermäßigten tatsächlichen Preis für diesen Tarif in Rechnung gestellt. Tatsächlicher Preis pro GB ist einfach der Microsoft Sentinel-Preis geteilt durch die GB-pro-Tag-Menge des Tarifs. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.
Sie können Ihre Mindestabnahme jederzeit erhöhen, um die Kosten zu optimieren, wenn Ihr Datenvolumen zunimmt. Eine Verringerung der Mindestabnahme ist nur alle 31 Tage zulässig. Um Ihren aktuellen Microsoft Sentinel-Tarif einzusehen, wählen Sie in Microsoft Sentinel Einstellungen und dann die Registerkarte Preise aus. Ihr aktueller Tarif ist als Aktueller Tarif markiert.
Informationen zum Festlegen und Ändern Ihrer Mindestabnahme finden Sie unter Festlegen oder Ändern des Tarifs. Stellen Sie alle Arbeitsbereiche, die älter als Juli 2023 sind, auf die vereinfachte Preisstufenerfahrung um, um die Berechnung der Gebühren zu vereinheitlichen. Oder verwenden Sie weiterhin die klassischen Preisstufen, die die Log Analytics-Preise von den klassischen Microsoft Sentinel-Preisen trennen. Weitere Informationen finden Sie unter vereinfachte Tarife.
Hilfsprotokolle und Basisprotokolle
Basisprotokolle sind eine kostengünstige und Hilfsprotokolle eine extrem kostengünstige Option zum Erfassen von Datenquellen mit hohem Volumen und niedrigem Wert. Sie werden zu einem pauschalen, niedrigen Satz pro GB berechnet. Sie weisen u. a. die folgenden Einschränkungen auf:
- Weniger Abfragefunktionen
- 30 Tage interaktive Aufbewahrung
- Keine Unterstützung für geplante Warnungen
Diese beiden Protokolltypen eignen sich am besten für Playbookautomatisierung, Ad-hoc-Abfragen, Untersuchungen und Suchvorgänge. Weitere Informationen finden Sie unter:
- Protokollaufbewahrungspläne in Microsoft Sentinel
- Protokollquellen für die Erfassung von Hilfsprotokollen
Weitere Informationen zum Unterschied zwischen interaktiver Aufbewahrung und Langzeitaufbewahrung (früher als Archiv bezeichnet) finden Sie unter Verwalten von Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.
Wichtig
Der Protokolltyp Hilfsprotokoll befindet sich derzeit in der PREVIEW. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Vereinfachte Tarife
Vereinfachte Tarife kombinieren die Kosten für die Datenanalyse für Microsoft Sentinel und die Log Analytics-Speicherkosten für die Erfassung in einem einzigen Tarif. Der folgende Screenshot zeigt den vereinfachten Tarif, den alle neuen Arbeitsbereiche verwenden werden.
Stelle Sie alle Arbeitsbereiche, die mit klassischen Tarifen konfiguriert sind, auf die vereinfachten Tarife um. Weitere Informationen zum Wechseln zu neuen Preisen finden Sie unter Registrieren für einen vereinfachten Tarif.
Die Kombination der Tarife bietet eine Vereinfachung der gesamten Abrechnungs- und Kostenverwaltung, einschließlich der Visualisierung auf der Preisseite und weniger Schritte zur Schätzung der Kosten im Azure-Rechner. Um den neuen vereinfachten Tarifen einen zusätzlichen Wert zu verleihen, wurde der aktuelle Microsoft Defender for Servers P2-Nutzen mit einer Gewährleistung von 500 MB für die Erfassung von Sicherheitsdaten in Log Analytics auf die vereinfachten Tarife erweitert. Diese Änderung erhöht den finanziellen Nutzen erheblich, wenn berechtigte Daten für jede auf diese Weise geschützte VM in Microsoft Sentinel erfasst werden. Weitere Informationen finden Sie unter Häufig gestellte Fragen (Microsoft Defender for Servers P2 – 500 MB-Vorteil).
Grundlegendes zur Microsoft Sentinel-Rechnung
Abrechenbare Verbrauchseinheiten sind die einzelnen Komponenten Ihres Diensts, die auf Ihrer Rechnung erscheinen und im Microsoft Cost Management angezeigt werden. Am Ende Ihres Abrechnungszeitraums werden die Gebühren für die einzelnen Verbrauchseinheiten summiert. Ihre Rechnung enthält einen Abschnitt für alle Microsoft Sentinel-Kosten an. Für jede Verbrauchseinheit besteht ein separates Zeilenelement.
Um Ihre Azure-Rechnung einzusehen, wählen Sie im linken Navigationsbereich von Cost Management die Option Kostenanalyse aus. Suchen Sie auf dem Bildschirm Kostenanalyse die Rechnungsdetails aus allen Ansichten, und wählen Sie sie aus.
Die in der folgenden Abbildung gezeigten Kosten dienen nur als Beispiel. Sie sollen keine tatsächlichen Kosten widerspiegeln. Ab dem 1. Juli 2023 wird den Legacy-Tarifen das Präfix Klassisch vorangestellt.
Microsoft Sentinel- und Log Analytics-Gebühren können auf Ihrer Azure-Rechnung basierend auf Ihrem ausgewählten Tarif als separate Posten ausgewiesen werden. Vereinfachte Tarife werden als einzelne sentinel
-Position für den Tarif dargestellt. Erfassung und Analyse werden auf Tagesbasis abgerechnet. Wenn Ihr Arbeitsbereich an einem bestimmten Tag die ihm zugewiesene Mindestabnahme überschreitet, weist die Azure-Rechnung einen Einzelposten für die Mindestabnahme mit den zugehörigen Fixkosten und einen separaten Einzelposten für die über die Mindestabnahme hinausgehenden Kosten aus, der zum gleichen effektiven Mindestabnahmesatz abgerechnet wird.
Die folgenden Registerkarten zeigen, wie Microsoft Sentinel-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung in Abhängigkeit Ihres vereinfachten Tarifs ausgewiesen werden.
Wenn Ihnen die Kosten gemäß dem vereinfachten Mindestabnahmesatz in Rechnung gestellt werden, zeigt die folgende Tabelle, wie Microsoft Sentinel-Kosten in den Spalten Dienstname und Verbrauchseinheit Ihrer Azure-Rechnung ausgewiesen werden.
Kostenbeschreibung | Dienstname | Zähler |
---|---|---|
Microsoft Sentinel-Mindestabnahme | Sentinel |
n GB Mindestabnahme |
Überschreitung der Microsoft Sentinel-Mindestabnahme | Sentinel |
Analyse |
Erfahren Sie, wie Sie Ihre Azure-Rechnung anzeigen und herunterladen.
Kosten und Preise für andere Dienstleistungen
Microsoft Sentinel lässt sich in viele andere Azure-Dienste integrieren, darunter Azure Logic Apps, Azure Notebooks und Bring Your Own Machine Learning (BYOML)-Modelle. Für einige dieser Dienste fallen möglicherweise zusätzliche Gebühren an. Einige der Datenconnectors und -lösungen von Microsoft Sentinel verwenden für die Datenerfassung Azure Functions, wodurch ebenfalls gesonderte Kosten anfallen.
Informieren Sie sich über die Preise für diese Dienste:
- Azure Logic Apps – Preise
- Azure Machine Learning – Preise
- Machine Learning Studio (Classic) – Preise
- Azure Functions – Preise
Für alle anderen Dienste, die Sie nutzen, können Kosten anfallen.
Kosten von interaktiver und langfristiger Datenaufbewahrung
Nachdem Sie Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert haben, sollten Sie die folgenden Konfigurationsoptionen betrachten:
- Bewahren Sie alle Daten, die in den Arbeitsbereich erfasst wurden, in den ersten 90 Tagen kostenlos auf. Eine Aufbewahrung über 90 Tage hinaus wird gemäß den standardmäßigen Log Analytics-Aufbewahrungspreisen in Rechnung gestellt.
- Geben Sie unterschiedliche Aufbewahrungseinstellungen für einzelne Datentypen an. Erfahren Sie mehr über die Aufbewahrung nach Datentyp.
- Aktivieren Sie die Langzeitaufbewahrung für Ihre Daten, damit Sie Zugriff auf Verlaufsprotokolle haben. Die Langzeitaufbewahrung ist ein kostengünstiger Aufbewahrungszustand für die Erhaltung von Daten für Dinge wie die Einhaltung gesetzlicher Vorschriften. Es wird basierend auf der gespeicherten und überprüften Datenmenge in Rechnung gestellt. Erfahren Sie, wie Sie Richtlinien für die interaktive und langfristige Datenaufbewahrung in Azure Monitor-Protokollen konfigurieren.
- Registrieren Sie Tabellen, die sekundäre Sicherheitsdaten im Plan Hilfsprotokolle enthalten. Mit diesem Plan können Sie Protokolle mit hohem Volumen und geringem Wert zu einem niedrigen Preis speichern. Dabei besteht zu Beginn ein interaktiver Aufbewahrungszeitraum von 30 Tagen, um Zusammenfassungen und grundlegende Abfragen zu ermöglichen. Weitere Informationen zum Plan für Hilfsprotokolle und anderen Plänen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.
Andere CEF-Erfassungskosten
CEF ist ein unterstütztes Syslog-Ereignisformat in Microsoft Sentinel. Verwenden Sie CEF, um wertvolle Sicherheitsinformationen aus verschiedenen Quellen in Ihren Microsoft Sentinel-Arbeitsbereich einzubringen. CEF-Protokolle werden in die Tabelle „CommonSecurityLog“ in Microsoft Sentinel gesammelt, die alle standardmäßigen aktuellen CEF-Felder enthält.
Viele Geräte und Datenquellen unterstützen Protokollierungsfelder jenseits des standardmäßigen CEF-Schemas. Diese zusätzlichen Felder werden in der Tabelle AdditionalExtensions angezeigt. Diese Felder können höhere Erfassungsvolumen als die CEF-Standardfelder haben, da der Ereignisinhalt in diesen Feldern variabel sein kann.
Nach dem Löschen von Ressourcen möglicherweise anfallende Kosten
Durch das Entfernen von Microsoft Sentinel werden weder der Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt wurde, noch etwaige separate Gebühren entfernt, die für diesen Arbeitsbereich anfallen könnten.
Kostenlose Datenquellen
Die folgenden Datenquellen lassen sich kostenlos mit Microsoft Sentinel nutzen:
- Azure-Aktivitätsprotokolle
- Microsoft Sentinel-Integrität
- Office 365-Überwachungsprotokolle, einschließlich aller SharePoint-Aktivitäten, Exchange-Administratoraktivitäten und Teams
- Sicherheitswarnungen, einschließlich Warnungen aus den folgenden Quellen:
- Microsoft Defender XDR
- Microsoft Defender für Cloud
- Microsoft Defender für Office 365
- Microsoft Defender for Identity
- Microsoft Defender für Cloud-Apps
- Microsoft Defender für den Endpunkt
- Warnungen aus den folgenden Quellen:
- Microsoft Defender für Cloud
- Microsoft Defender for Cloud Apps
Warnungen sind kostenlos, aber Rohdatenprotokolle für einige Datentypen von Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID und Azure Information Protection (AIP) sind kostenpflichtig.
Die folgende Tabelle führt die Datenquellen in Microsoft Sentinel und Log Analytics auf, die nicht in Rechnung gestellt werden. Weitere Informationen finden Sie unter ausgeschlossene Tabellen.
Microsoft Sentinel-Datenconnector | Freier Datentyp |
---|---|
Azure-Aktivitätsprotokolle | AzureActivity |
Systemüberwachung für Microsoft Sentinel 1 | SentinelHealth |
Microsoft Entra ID-Schutz | SecurityAlert (IPC) |
Office 365 | OfficeActivity (SharePoint) |
OfficeActivity (Exchange) | |
OfficeActivity (Teams) | |
Microsoft Defender für Cloud | SecurityAlert (Defender für Cloud) |
Microsoft Defender für IoT | SecurityAlert (Defender für IoT) |
Microsoft Defender XDR | SecurityIncident |
SecurityAlert | |
Microsoft Defender für den Endpunkt | SecurityAlert (MDATP) |
Microsoft Defender for Identity | SecurityAlert (AATP) |
Microsoft Defender für Cloud-Apps | SecurityAlert (Defender for Cloud Apps) |
1 Weitere Informationen finden Sie unter Überwachung und Systemüberwachung für Microsoft Sentinel.
Für Datenconnectors, die sowohl kostenlose als auch kostenpflichtige Datentypen enthalten, wählen Sie aus, welche Datentypen Sie aktivieren möchten.
Erfahren Sie mehr darüber, wie Sie Datenquellen verbinden, einschließlich kostenloser und kostenpflichtiger Datenquellen.
Erfahren Sie mehr
- Überwachen der Kosten für Microsoft Sentinel
- Reduzieren der Kosten für Microsoft Sentinel
- Erfahren Sie, wie Sie Ihre Cloudinvestitionen mit Microsoft Cost Management optimieren.
- Erfahren Sie mehr über die Verwaltung von Kosten mit der Kostenanalyse.
- Erfahren Sie, wie Sie unerwartete Kosten vermeiden.
- Nehmen Sie an dem angeleiteten Kurs Cost Management teil.
- Weitere Tipps zum Reduzieren des Log Analytics-Datenvolumens finden Sie unter Bewährte Azure Monitor-Methoden: Kostenverwaltung.
Nächste Schritte
In diesem Artikel haben Sie mehr über die Kostenplanung und die Abrechnung für Microsoft Sentinel erfahren.