Planifier les coûts et comprendre la tarification et la facturation de Microsoft Sentinel

Lorsque vous planifiez votre déploiement Microsoft Sentinel, vous souhaitez généralement comprendre les modèles de tarification et de facturation de Microsoft Sentinel, afin de pouvoir optimiser vos coûts. Les données d’analytique de sécurité Microsoft Sentinel sont stockées dans un espace de travail Log Analytics Azure Monitor. La facturation est basée sur le volume de ces données analysées dans Microsoft Sentinel et sont stockées dans l'espace de travail Log Analytics. Le coût des deux est combiné dans un niveau tarifaire simplifié. Apprenez-en davantage sur les niveaux tarifaires simplifiés ou en savoir plus sur la tarification de Microsoft Sentinel en général.

Avant d’ajouter des ressources pour Microsoft Sentinel, utilisez la calculatrice de prix Azure pour estimer vos coûts.

Les coûts pour Microsoft Sentinel ne représentent qu’une partie des coûts mensuels sur votre facture Azure. Cet article explique comment prévoir les coûts et comprendre la facturation pour Microsoft Sentinel. Tous les services et ressources Azure utilisés par votre abonnement Azure, dont les services partenaires, vous sont toutefois facturés.

Cet article fait partie du Guide de déploiement de Microsoft Sentinel.

Essai gratuit

Activez Microsoft Sentinel sur un espace de travail Azure Monitor Log Analytics et les 10 premiers Go/jour sont gratuits pendant 31 jours. Le coût de l’ingestion de données Log Analytics et des frais d’analyse Microsoft Sentinel jusqu’à la limite de 10 Go/jour est annulé pendant la période d’essai de 31 jours. Cette version d’essai gratuite est soumise à une limite de 20 espaces de travail par locataire Azure.

L’utilisation au-delà de ces limites sera facturée en fonction de la tarification indiquée sur la page Tarification Microsoft Sentinel. Les frais liés aux fonctionnalités supplémentaires d’automatisation et de BYOML (apportez votre propre machine learning) sont toujours applicables durant l’essai gratuit.

Pendant votre version d’évaluation gratuite, recherchez des ressources pour la gestion des coûts, la formation et bien plus encore sous l’onglet Actualités et guides > Essai gratuit dans Microsoft Sentinel. Cet onglet affiche également des détails sur les dates de votre version d’évaluation gratuite et le nombre de jours restants jusqu’à leur expiration.

Identifier les sources de données et planifier les coûts en conséquence

Identifiez les sources de données qui sont ou seront ingérées dans votre espace de travail au sein de Microsoft Sentinel. Microsoft Sentinel vous permet d’importer des données à partir d’une ou de plusieurs sources de données. Certaines de ces sources de données sont gratuites, et d’autres engendrent des frais. Pour plus d’informations, consultez Sources de données gratuites.

Estimer les coûts et la facturation avant d’utiliser Microsoft Sentinel

Utilisez la calculatrice de prix Microsoft Sentinel pour estimer les coûts nouveaux ou le changement de tarification. Entrez Microsoft Sentinel dans la zone de recherche puis sélectionnez la vignette Microsoft Sentinel obtenue. La calculatrice de prix vous aide à estimer vos coûts probables en fonction de l’ingestion et de la conservation des données que vous prévoyez.

Par exemple, vous pouvez saisir le nombre de Go de données quotidiennes que vous prévoyez d’ingérer dans Microsoft Sentinel, ainsi que la région de votre espace de travail. La calculatrice fournit le coût mensuel global pour les composants suivants :

  • Microsoft Sentinel : journaux d’analytique et journaux de base
  • Azure Monitor : rétention
  • Azure Monitor : Restauration des données
  • Azure Monitor : Requêtes de recherche et travaux de recherche

Comprendre le modèle de facturation complet pour Microsoft Sentinel

Microsoft Sentinel offre un modèle de tarification flexible et prévisible. Pour plus d’informations, voir la page tarification de Microsoft Sentinel. Les espaces de travail antérieurs à juillet 2023 peuvent avoir des frais d’espace de travail Log Analytics distincts de Microsoft Sentinel au sein d’un niveau tarifaire classique. Pour connaître les frais connexes de Log Analytics, consultez Tarification Azure Monitor pour Log Analytics.

Microsoft Sentinel s’exécute sur l’infrastructure Azure qui cumule les coûts lorsque vous déployez de nouvelles ressources. Il est important de comprendre qu’il peut y avoir d’autres coûts d’infrastructure supplémentaires susceptibles de s’accumuler.

Comment vous êtes facturé pour Microsoft Sentinel

La tarification dépend des types de journaux ingérés par l’espace de travail. Les journaux d’analytique constituent généralement la majeure partie des journaux à haute valeur sécuritaire. Les journaux de base ont tendance à être détaillés tout en offrant une faible valeur de sécurité. Il est important de noter que la facturation s’effectue quotidiennement par espace de travail pour tous les types et niveaux de journaux.

Journaux d’analytique

Il existe deux modes de paiement des journaux d’analytique : le paiement à l’utilisation et les niveaux d’engagement.

  • Le paiement à l’utilisation est le modèle par défaut, basé sur le volume réel de données stockées et, éventuellement, sur la conservation des données au-delà de 90 jours. Le volume de données est mesuré en Go (109 octets).

  • Log Analytics et Microsoft Sentinel ont des tarifs de niveau d’engagement, anciennement appelés réservations de capacité. Ces niveaux tarifaires sont combinés en niveaux tarifaires simplifiés qui sont plus prévisibles et offrent des économies substantielles par rapport aux tarifs de paiement à l’utilisation.

    La tarification du niveau d’engagement commence à 100 Go/jour. Toute utilisation dépassant le niveau d’engagement est facturée au tarif du niveau d’engagement que vous avez sélectionné. Par exemple, un niveau d’engagement de 100 Go vous facture le volume de données engagé de 100 Go, plus tout Go/jour supplémentaire au tarif réduit pour ce niveau.

    Augmentez votre niveau d’engagement à tout moment pour optimiser les coûts au fur et à mesure que votre volume de données augmente. L’abaissement du niveau d’engagement n’est autorisé que tous les 31 jours. Pour voir votre niveau tarifaire Microsoft Sentinel actuel, sélectionnez Paramètres dans le volet de navigation gauche de Microsoft Sentinel, puis sélectionnez l’onglet Tarification. Votre niveau tarifaire actuel est marqué en tant que Niveau actuel.

    Pour définir et modifier votre niveau d’engagement, consultez Définir ou modifier le niveau tarifaire. Les espaces de travail antérieurs à juillet 2023 auront la possibilité de passer à des niveaux tarifaires simplifiés pour unifier les compteurs de facturation, ou de continuer à utiliser les niveaux tarifaires classiques qui séparent la tarification Log Analytics de la tarification classique de Microsoft Sentinel. Pour plus d’informations, consultez Niveaux tarifaires simplifiés.

Journaux de base

Les journaux de base sont proposés à un prix réduit et facturés à un tarif forfaitaire par Go. Ils présentent les limitations suivantes :

  • Fonctionnalités d’interrogation réduites
  • Rétention de huit jours
  • Aucune prise en charge des alertes planifiées

Les journaux de base sont adaptés pour une utilisation dans l’automatisation des playbooks, l’interrogation ad hoc, les investigations et la recherche. Pour plus d’informations, consultez Configuration des journaux de base dans Azure Monitor.

Niveaux tarifaires simplifiés

Les niveaux tarifaires simplifiés combinent les coûts d’analyse des données pour Microsoft Sentinel et les coûts de stockage d’ingestion de Log Analytics en un seul niveau tarifaire. Voici une capture d’écran montrant le niveau tarifaire simplifié que tous les nouveaux espaces de travail utiliseront.

Screenshot shows simplified pricing tier.

Les espaces de travail configurés avec des niveaux tarifaires classiques ont la possibilité de basculer vers les niveaux tarifaires simplifiés. Pour plus d’informations sur la façon de basculer vers une nouvelle tarification, consultez S’inscrire à un niveau tarifaire simplifié.

La combinaison des niveaux tarifaires offre une simplification de l’expérience globale de facturation et de gestion des coûts, notamment la visualisation dans la page de tarification et moins d’étapes d’estimation des coûts dans la calculatrice Azure. Pour ajouter davantage de valeur aux nouveaux niveaux simplifiés, l’avantage actuel Microsoft Defender pour serveurs P2 accordant une ingestion de données de sécurité de 500 Mo/machine virtuelle/jour dans Log Analytics a été étendu aux niveaux tarifaires simplifiés. Cela augmente considérablement l’avantage financier de l’intégration des données éligibles ingérées dans Microsoft Sentinel pour chaque machine virtuelle protégée de cette manière.

Comprendre votre facture Microsoft Sentinel

Les compteurs facturables sont les composants individuels de votre service qui apparaissent sur votre facture et sont également affichés dans Microsoft Cost Management. À la fin de votre cycle de facturation, les frais associés à chaque compteur sont additionnés. Votre facture contient une section pour tous les coûts Microsoft Sentinel. Chaque compteur est représenté par un élément de ligne distinct.

Pour voir votre facture Azure, sélectionnez Analyse des coûts dans le volet de navigation gauche de Cost Management. Sur l’écran Analyse des coûts, sélectionnez le caret déroulant dans le champ Afficher, puis sélectionnez Détails de la facture.

Les coûts indiqués dans l’image suivante sont donnés à titre d’exemple uniquement. Ils ne sont pas destinés à refléter les coûts réels. À compter du 1er juillet 2023, les niveaux tarifaires hérités sont précédés de Classic.

Screenshot showing the Microsoft Sentinel section of a sample Azure bill, to help you estimate costs.

Les frais relatifs à Microsoft Sentinel et à Log Analytics s’affichent sur votre facture Azure sous la forme de lignes distinctes en fonction du plan tarifaire sélectionné. Les niveaux tarifaires simplifiés sont représentés sous la forme d’un élément de ligne unique sentinel pour le niveau tarifaire. Étant donné que l’ingestion et l’analyse sont facturées quotidiennement, si votre espace de travail dépasse l’allocation d’utilisation de son niveau d’engagement un certain jour, la facture Azure aura une ligne pour le niveau d’engagement avec son coût fixe associé et une ligne distincte pour l’ingestion au-delà du niveau d’engagement, facturée au taux effectif du niveau d’engagement.

Les onglets suivants montrent comment apparaissent les coûts Microsoft Sentinel dans les colonnes Nom du service et Compteur de votre facture Azure en fonction de votre niveau tarifaire simplifié.

Si vous bénéficiez du tarif du niveau d’engagement simplifié, ce tableau montre comment apparaissent les coûts Microsoft Sentinel dans les colonnes Nom du service et Compteur de votre facture Azure.

Description du coût Nom du service Compteur
Niveau d’engagement Microsoft Sentinel Sentinel niveau d’engagement de n Go
Dépassement du niveau d’engagement Microsoft Sentinel Sentinel Analyse

Découvrez comment voir et télécharger votre facture Azure.

Coûts et tarification pour d’autres services

Microsoft Sentinel s’intègre à de nombreux autres services Azure, notamment Azure Logic Apps, Azure Notebooks et apportez vos propres modèles BYOML (Machine Learning). Certains de ces services pourraient entraîner des frais supplémentaires. Certains connecteurs de données et solutions de Microsoft Sentinel utilisent Azure Functions pour l’ingestion des données, qui a également un coût associé distinct.

En savoir plus sur la tarification de ces services :

Tout autre service que vous utilisez peut avoir des coûts associés.

Conservation des données et coûts des journaux archivés

Après avoir activé Microsoft Sentinel sur un espace de travail Log Analytics, envisagez les options de configuration suivantes :

La conservation de 90 jours ne s’applique pas aux journaux de base. Si vous souhaitez étendre la conservation des données au-delà de huit jours pour les journaux de base, vous pouvez stocker ces données dans des journaux archivés pendant sept ans.

Autres coûts d’ingestion CEF

Le CEF est un format d’événements Syslog pris en charge dans Microsoft Sentinel. Vous pouvez utiliser le CEF pour apporter de précieuses informations de sécurité provenant de diverses sources à votre espace de travail Microsoft Sentinel. Les journaux CEF atterrissent dans la table CommonSecurityLog de Microsoft Sentinel, qui comprend tous les champs CEF standard à jour.

De nombreux appareils et sources de données prennent en charge des champs de journalisation au-delà du schéma CEF standard. Ces champs supplémentaires atterrissent dans la table AdditionalExtensions. Ces champs peuvent avoir des volumes d’ingestion plus élevés que les champs CEF standard, car le contenu des événements dans ces champs peut être variable.

Coûts qui peuvent s’additionner après la suppression des ressources

La suppression de Microsoft Sentinel n’entraîne pas la suppression de l’espace de travail Log Analytics sur lequel Microsoft Sentinel a été déployé, ni de frais distincts que l’espace de travail peut encourir.

Sources de données gratuites

Les sources de données suivantes sont gratuites avec Microsoft Sentinel :

  • Journaux d’activité Azure.
  • Journaux d’audit d’Office 365, y compris toute l’activité SharePoint, l’activité de l’administrateur Exchange et Teams.
  • Alertes de sécurité, y compris les alertes de Microsoft Defender XDR, Microsoft Defender pour le cloud, Microsoft Defender pour Office 365, Microsoft Defender pour Identity, applications Microsoft Defender pour le cloud et Microsoft Defender pour point de terminaison.
  • Alertes Microsoft Defender pour le Cloud et Microsoft Defender pour les applications Cloud.

Bien que les alertes soient gratuites, les journaux bruts de certains types de données Microsoft Defender XDR, Defender pour le cloud Apps, Microsoft Entra ID et Azure Protection des données (AIP) sont payés.

Le tableau suivant répertorie les sources de données dans Microsoft Sentinel qui ne sont pas facturées. Cette liste est similaire à Log Analytics. Pour plus d’informations, consultez Tables exclues.

Connecteur de données Microsoft Sentinel Type de données gratuit
Journaux d’activité Azure AzureActivity
Protection Microsoft Entra ID SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender pour le cloud SecurityAlert (Defender pour le Cloud)
Microsoft Defender pour IoT SecurityAlert (Defender pour l’IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender for Endpoint SecurityAlert (MDATP)
Microsoft Defender pour Identity SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (Defender pour les applications cloud)

Pour les connecteurs de données qui incluent à la fois des types de données gratuits et payants, vous pouvez sélectionner les types de données que vous souhaitez activer.

Screenshot of the Data connector page for Defender for Cloud Apps, with the free security alerts selected and the paid MCAS Shadow IT Reporting data connection not enabled.

Découvrez comment connecter des sources de données, notamment des sources de données gratuites et payantes.

En savoir plus

Étapes suivantes

Dans cet article, vous avez appris à planifier les coûts et à comprendre la facturation de Microsoft Sentinel.