Planear los costos y conocer los precios y la facturación de Microsoft Sentinel

Cuando planea la implementación de Microsoft Sentinel, lo normal es que quiera conocer los modelos de precios y facturación de esta solución, con el fin de poder optimizar los costos. Los datos de análisis de seguridad de Microsoft Sentinel se almacenan en un área de trabajo de Azure Monitor Log Analytics. La facturación se basa en el volumen de los datos en Microsoft Sentinel y el almacenamiento del área de trabajo de Azure Monitor Log Analytics. Consulte más información sobre los precios de Microsoft Sentinel.

Antes de agregar recursos para Microsoft Sentinel, use la calculadora de precios de Azure para que le ayude a calcular los costos.

Los costos de Microsoft Sentinel son solo una parte de los costos mensuales de la factura de Azure. Aunque en este artículo se explica cómo planear los costos y entender la facturación de Microsoft Sentinel, se le facturan todos los servicios y recursos de Azure que use su suscripción de Azure, incluidos los servicios de asociado.

Evaluación gratuita

Pruebe Microsoft Sentinel de forma gratuita durante los primeros 31 días. Microsoft Sentinel se puede habilitar sin costo adicional en un área de trabajo de Log Analytics de Azure Monitor, sujeto a los límites indicados a continuación:

  • Las nuevas áreas de trabajo de Log Analytics pueden ingerir hasta 10 GB/día de datos de registro durante los primeros 31 días sin costo alguno. Las nuevas áreas de trabajo incluyen áreas de trabajo con menos de tres días de antigüedad.

    Los cargos por ingesta de datos de Log Analytics y Microsoft Sentinel se anulan durante el período de 31 días de evaluación. Esta evaluación gratuita está sujeta a un límite de 20 áreas de trabajo por inquilino de Azure.

  • Las áreas de trabajo existentes de Log Analytics pueden habilitar Microsoft Sentinel sin costo adicional. Las áreas de trabajo existentes incluyen todas aquellas áreas de trabajo creadas hace más de tres días.

    Durante el período de evaluación de 31 días solo se anulan los cargos de Microsoft Sentinel.

El uso por encima de estos límites se cobra según el precio que se indica en la página de precios de Microsoft Sentinel. Los cargos relacionados con funcionalidades adicionales para la automatización y el aprendizaje automático propio siguen siendo aplicables durante la evaluación gratuita.

Durante el período de evaluación gratuita, encuentre recursos para la administración de costos, el entrenamiento y más en la pestaña Novedades y guías > Evaluación gratuita de Microsoft Sentinel. Esta pestaña también muestra detalles sobre las fechas de la evaluación gratuita y cuántos días le quedan hasta su expiración.

Identificación de los orígenes de datos y planeamiento de los costos en consecuencia

Identifique los orígenes de datos que va a ingerir o planee ingerir en el área de trabajo en Microsoft Sentinel. Microsoft Sentinel permite obtener datos de uno o varios orígenes de datos. Algunos de estos orígenes de datos son gratuitos y otros incurren en cargos. Para más información, consulte Orígenes de datos gratuitos.

Estimación de los costos y la facturación antes de usar Microsoft Sentinel

Si aún no usa Microsoft Sentinel, puede emplear la calculadora de precios de Microsoft Sentinel para estimar los posibles costos. Escriba Microsoft Sentinel en el cuadro de búsqueda y seleccione el icono de Microsoft Sentinel resultante. La calculadora de precios le ayuda a hacer una estimación de sus costos en función de la retención y la ingesta de datos previstos.

Por ejemplo, puede especificar los GB de datos diarios que espera ingerir en Microsoft Sentinel y la región del área de trabajo. La calculadora proporciona el costo mensual agregado de estos componentes:

  • Ingesta de datos de Azure Monitor: registros de análisis y registros básicos
  • Análisis de datos de Microsoft Sentinel: registros de análisis y registros básicos
  • Retención de datos
  • Archivo de datos (registros archivados)
  • Consultas de registros básicos

Descripción del modelo de facturación completo de Microsoft Sentinel

Microsoft Sentinel ofrece un modelo de precios flexible y predecible. Para obtener más información, vea la página de precios de Microsoft Sentinel. Para ver los cargos de Log Analytics relacionados, consulte los precios de Log Analytics de Azure Monitor.

Microsoft Sentinel se ejecuta en infraestructura de Azure que acumula costos cuando se implementan recursos nuevos. Es importante entender que podrían generarse otros costos de infraestructura adicionales.

Cargos de Microsoft Sentinel

Microsoft Sentinel ofrece unos precios flexibles basados en los tipos de registros ingeridos en un área de trabajo. Los registros de análisis normalmente constituyen la mayoría de los registros de los valores de alta seguridad. Los registros básicos tienden a ser detallados y a tener un valor de seguridad bajo.

Registros de análisis

Hay dos maneras de pagar los registros de análisis: Pago por uso y Niveles de compromiso.

  • Pago por uso es el modelo predeterminado, basado en el volumen real de datos almacenados y, de forma opcional, en la retención de datos más allá de 90 días. El volumen de datos se mide en GB (10^9 bytes).

  • Log Analytics y Microsoft Sentinel también tienen el modelo de precios Nivel de compromiso, anteriormente llamado Reservas de capacidad, que es más predecible y ahorra hasta un 65 % en comparación con el modelo de precios Pago por uso.

    Con el sistema de precios de nivel de compromiso, puede adquirir un compromiso a partir de 100 GB al día. Cualquier uso por encima del nivel de compromiso se factura según la tarifa del nivel de compromiso que haya seleccionado. Por ejemplo, un nivel de compromiso de 100 GB le factura por el volumen de datos de 100 GB con el que se ha comprometido, y cualquier GB por día adicional se le factura a la tarifa con descuento para ese nivel.

    Puede aumentar el nivel de compromiso en cualquier momento y reducirlo cada 31 días para optimizar los costos a medida que aumenta o disminuye el volumen de datos. Para ver el plan de tarifa actual de Microsoft Sentinel, seleccione Configuración en el panel de navegación izquierdo de Microsoft Sentinel y luego seleccione la pestaña Precios. El plan de tarifa actual aparece marcado como Nivel actual.

    Para establecer y cambiar el nivel de compromiso, consulte Establecer o cambiar el plan de tarifa.

Registros básicos (versión preliminar)

Los registros básicos tienen un precio reducido y se cobran a una tarifa plana por GB. Tienen las siguientes limitaciones:

  • Funcionalidades de consulta reducidas
  • Retención de ocho días
  • No se admiten alertas programadas

Los registros básicos son más adecuados para su uso en la automatización de cuadernos de estrategias, consultas ad hoc, investigaciones y búsquedas. Para más información, consulte el artículo sobre la configuración de registros básicos en Azure Monitor.

Descripción de la factura de Microsoft Sentinel

Los medidores facturables son los componentes individuales del servicio que aparecen en la factura y también se muestran en el análisis de costos en el servicio. Al final del ciclo de facturación, se suman los cargos de cada medidor. La factura muestra una sección con todos los costos de Microsoft Sentinel. Hay un elemento de línea independiente para cada medidor.

Para ver la factura de Azure, seleccione Análisis de costos en el panel de navegación izquierdo de Cost Management + Billing. En la pantalla Análisis de costos, seleccione el cuadro de diálogo desplegable en el campo Ver y seleccione Detalles de la factura.

Los costos que se muestran en la siguiente imagen son solo a modo de ejemplo. No están diseñados para reflejar los costos reales.

Captura de pantalla que muestra la sección de Microsoft Sentinel en una factura de ejemplo de Azure para ayudarle a calcular los costos.

Los cargos de Microsoft Sentinel y Log Analytics aparecen como elementos de línea independientes en la factura de Azure, en función del plan de precios seleccionado. Si supera la utilización del nivel de compromiso del área de trabajo en un mes determinado, la factura de Azure muestra un elemento de línea para el nivel de compromiso con su costo fijo asociado y un elemento de línea independiente para la ingesta más allá del nivel de compromiso, facturado a la misma tarifa del nivel de compromiso.

En la tabla siguiente se muestra cómo aparecen los costos de Microsoft Sentinel y Log Analytics en las columnas Nombre de servicio y Medidor de la factura de Azure.

Si se le factura según la tarifa del nivel de compromiso, en esta tabla se muestra cómo aparecen los costos de Microsoft Sentinel y Log Analytics en las columnas Nombre de servicio y Medidor de la factura de Azure.

Descripción del costo Nombre del servicio Medidor
Nivel de compromiso de Microsoft Sentinel sentinel nivel de compromiso de n gb
Nivel de compromiso de Log Analytics azure monitor nivel de compromiso de n gb
Uso de Microsoft Sentinel por encima del límite de Nivel de compromiso sentinel análisis
Uso de Log Analytics por encima del límite de Nivel de compromiso log analytics ingesta de datos
Ingesta de datos de registros básicos azure monitor ingesta de datos: registros básicos
Ingesta de datos de registros básicos sentinel Análisis: registros básicos

Vea cómo puede consultar y descargar su factura de Azure.

Costos y precios de otros servicios

Microsoft Sentinel se integra con muchos otros servicios de Azure, como Azure Logic Apps, Azure Notebooks y BYOML (traiga sus propios modelos de aprendizaje automático). Algunos de estos servicios pueden tener cargos adicionales. Algunos de los conectores de datos y las soluciones de Microsoft Sentinel usan Azure Functions para la ingesta de datos, que también tiene un costo asociado independiente.

Consulte la información de precios de estos servicios:

Cualquier otro servicio que use podría tener costos asociados.

Retención de datos y costos de registros archivados

Después de habilitar Microsoft Sentinel en un área de trabajo de Log Analytics:

  • Puede retener todos los datos ingeridos en el área de trabajo sin cargo adicional durante los primeros 90 días. La retención de datos más allá de 90 días se cobra según los precios estándar de retención de Log Analytics.
  • Puede especificar diferentes valores de retención para tipos de datos individuales. Consulte información sobre la retención por tipo de datos.
  • La habilitación de los registros le permite habilitar la retención a largo plazo de los datos y tener acceso a los registros históricos. El archivo de datos es una capa de retención de bajo costo para el almacenamiento en archivado. Se cobra en función del volumen de datos almacenados y analizados. Vea cómo configurar directivas de retención de datos y archivo en los registros de Azure Monitor. Los registros archivados están en versión preliminar pública.

La retención de 90 días no se aplica a los registros básicos. Si desea ampliar la retención de datos de los registros básicos más allá de ocho días, puede almacenar esos datos en registros archivados durante un máximo de siete años.

Otros costos de ingesta de CEF

CEF es un formato de eventos de Syslog compatible en Microsoft Sentinel. Puede usar CEF para traer información de seguridad valiosa de una serie de orígenes al área de trabajo de Microsoft Sentinel. Los registros CEF se colocan en la tabla CommonSecurityLog de Microsoft Sentinel, que incluye todos los campos CEF estándar actualizados.

Muchos dispositivos y orígenes de datos permiten registrar campos más allá del esquema CEF estándar. Estos campos adicionales llegan a la tabla AdditionalExtensions. Estos campos podrían tener volúmenes de ingesta más altos que los campos CEF estándar, ya que el contenido del evento dentro de estos campos puede ser variable.

Costos que pueden generarse tras eliminar un recurso

Al quitar Microsoft Sentinel no se elimina el área de trabajo de Log Analytics en la que se ha implementado Microsoft Sentinel ni los posibles cargos independientes que pudiera generar esa área de trabajo.

Orígenes de datos gratuitos

Los siguientes orígenes de datos son gratuitos con Microsoft Sentinel:

  • Registros de actividad de Azure.
  • Registros de auditoría de Office 365, incluidas todas las actividades de SharePoint, la actividad del administrador de Exchange, y Teams.
  • Alertas de seguridad, lo que incluye alertas de Microsoft Defender for Cloud, Microsoft 365 Defender, Microsoft Defender para Office 365, Microsoft Defender for Identity y Microsoft Defender para punto de conexión.
  • Alertas de Microsoft Defender for Cloud y Microsoft Defender for Cloud Apps.

Aunque las alertas son gratuitas, los registros sin procesar de algunos tipos de datos de Microsoft 365 Defender, Defender for Cloud Apps, Azure Active Directory (Azure AD) y Azure Information Protection (AIP) son de pago.

En la tabla siguiente se indican los orígenes de datos gratuitos que puede habilitar en Microsoft Sentinel.

Conector de datos de Microsoft Sentinel Tipo de datos gratis
Registros de actividad de Azure AzureActivity
Azure AD Identity Protection SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender for Cloud SecurityAlert (Defender for Cloud)
Microsoft Defender para IoT SecurityAlert (Defender para IoT)
Microsoft 365 Defender SecurityIncident
SecurityAlert
Microsoft Defender para punto de conexión SecurityAlert (MDATP)
Microsoft Defender for Identity SecurityAlert (AATP)
Microsoft Defender para aplicaciones en la nube SecurityAlert (Defender for Cloud Apps)

En el caso de los conectores de datos que incluyen tipos de datos gratuitos y de pago, puede seleccionar los tipos de datos que desea habilitar.

Captura de pantalla que muestra la página del conector de datos de Defender for Cloud Apps, con las alertas de seguridad gratuitas seleccionadas y MCAS Shadow IT Reporting de pago sin seleccionar.

Consulte más información sobre cómo conectar orígenes de datos, incluidos orígenes de datos gratuitos y de pago.

Pasos siguientes