Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour estimer vos coûts de Microsoft Sentinel attendus, utilisez l’outil d’estimateur de coût Microsoft Sentinel et collaborez directement avec un spécialiste des ventes sécurité pour obtenir un devis personnalisé ou des conseils supplémentaires.
Les coûts de Microsoft Sentinel ne représentent qu’une partie des coûts mensuels de votre facture Azure. Bien que cet article explique comment planifier les coûts et comprendre la facturation des Microsoft Sentinel, vous êtes facturé pour tous les services et ressources Azure que votre abonnement Azure utilise, y compris les services partenaires.
Cet article fait partie du Guide de déploiement pour Microsoft Sentinel.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Essai gratuit
Activez Microsoft Sentinel sur un espace de travail Azure Monitor Log Analytics et les 10 premiers Go/jour ingérés à l’aide du plan des journaux Analytics sont gratuits pendant 31 jours. Le coût de l’ingestion des données Log Analytics et des frais d’analyse Microsoft Sentinel jusqu’à la limite de 10 Go/jour est annulé pendant la période d’essai de 31 jours. Cet essai gratuit est soumis à une limite de 20 espaces de travail par Azure locataire.
Consultez la page de tarification Microsoft Sentinel pour plus d’informations sur la façon dont l’utilisation au-delà de ces limites est facturée. Les frais liés aux fonctionnalités supplémentaires pour l’automatisation et l’intégration de votre propre machine learning sont toujours applicables pendant la version d’évaluation gratuite, et tous les frais Microsoft Sentinel liés au lac de données.
Pendant votre essai gratuit, recherchez des ressources pour la gestion des coûts, la formation et plus encore dans l’onglet & Des guides > d’actualités Essai gratuit dans Microsoft Sentinel sur le Portail Azure. Cet onglet affiche également des détails sur les dates de votre essai gratuit et le nombre de jours restants avant l’expiration de la version d’évaluation.
Comprendre le modèle de facturation complet pour Microsoft Sentinel
Microsoft Sentinel offre un modèle tarifaire flexible et prévisible. Pour plus d’informations, consultez la page de tarification Microsoft Sentinel. Les espaces de travail antérieurs à juillet 2023 peuvent avoir des frais d’espace de travail Log Analytics distincts de Microsoft Sentinel dans un niveau tarifaire classique. Pour connaître les frais Log Analytics associés, consultez Azure Surveiller les tarifs Log Analytics.
Microsoft Sentinel s’exécute sur Azure infrastructure qui génère des coûts lorsque vous déployez de nouvelles ressources. Il est important de comprendre qu’il peut y avoir d’autres coûts d’infrastructure supplémentaires qui peuvent s’accumuler.
Comment vous êtes facturé pour Microsoft Sentinel
La tarification est basée sur le niveau dans lequel les données sont ingérées. Pour plus d’informations sur les niveaux et les plans, consultez Niveaux de données dans Microsoft Sentinel.
Niveau Analytique
Il existe deux façons de payer pour le niveau analytique : le paiement à l’utilisation et les niveaux d’engagement.
Le modèle de paiement à l’utilisation est le modèle par défaut, basé sur le volume de données réel stocké et éventuellement pour la conservation des données au-delà de 90 jours. Le volume de données est mesuré en Go (109 octets).
Log Analytics et Microsoft Sentinel ont des tarifs de niveau d’engagement, anciennement appelés réservations de capacité. Ces niveaux tarifaires sont combinés en niveaux tarifaires simplifiés qui sont plus prévisibles et offrent des économies substantielles par rapport à la tarification du paiement à l’utilisation .
La tarification du niveau d’engagement commence à 100 Go par jour. Toute utilisation supérieure au niveau d’engagement est facturée au taux de niveau d’engagement que vous avez sélectionné. Par exemple, un niveau d’engagement de 100 Go par jour vous facture le volume de données de 100 Go validées, plus tout Go/jour supplémentaire au tarif effectif réduit pour ce niveau. Le prix effectif par Go est simplement le prix Microsoft Sentinel divisé par la quantité de go de niveau par jour. Pour plus d’informations, consultez tarification Microsoft Sentinel.
Augmentez votre niveau d’engagement à tout moment pour optimiser les coûts à mesure que votre volume de données augmente. La réduction du niveau d’engagement n’est autorisée que tous les 31 jours. Pour afficher votre niveau tarifaire Microsoft Sentinel actuel, sélectionnez Paramètres dans Microsoft Sentinel, puis sélectionnez l’onglet Tarification. Votre niveau tarifaire actuel est marqué comme Niveau actuel.
Pour définir et modifier votre niveau d’engagement, consultez Définir ou modifier le niveau tarifaire. Basculez tous les espaces de travail antérieurs à juillet 2023 vers l’expérience des niveaux tarifaires simplifiés pour unifier les compteurs de facturation. Vous pouvez également continuer à utiliser les niveaux tarifaires classiques qui séparent la tarification Log Analytics de la tarification classique Microsoft Sentinel classique.
Niveau du lac de données
Pour en savoir plus sur le lac de données Microsoft Sentinel, consultez Microsoft Sentinel lac de données.
Le niveau du lac de données entraîne des frais en fonction de l’utilisation de diverses fonctionnalités de lac de données.
- L’ingestion du lac de données est facturée par Go pour toutes les données ingérées dans les tables avec une rétention définie sur le niveau data lake uniquement. Les frais d’ingestion de lac de données ne s’appliquent pas lorsque les données sont ingérées dans des tables dont la rétention est définie pour inclure les niveaux analytique et data lake.
- Le traitement des données est facturé par Go pour les données ingérées dans des tables dont la rétention est définie sur le niveau data lake uniquement. Il prend en charge des transformations telles que la rédaction, le fractionnement, le filtrage et la normalisation. Les frais de traitement des données ne s’appliquent pas lorsque des données sont ingérées dans des tables dont la rétention est définie pour inclure les niveaux analytique et data lake.
- Les frais de stockage data lake sont appliqués par Go et par mois pour toutes les données qui restent dans le niveau de lac de données après la fin de la période de rétention du niveau analytique. Les frais sont basés sur un taux de compression de données simple et uniforme de 6:1. Par exemple, si vous conservez 600 Go de données brutes, elles sont facturées comme 100 Go de données compressées.
- Les frais de requête de lac de données s’appliquent par heure de calcul utilisée lors de l’utilisation dans les sessions de notebook, de l’exécution de travaux de notebook ou de la création de nœuds et d’arêtes pour des graphiques personnalisés. Les heures de calcul sont calculées en multipliant le nombre de cœurs dans le pool sélectionné pour le notebook par la durée d’exécution d’une session ou d’un travail. Les sessions et les travaux de notebook Data Lake sont disponibles dans des pools de 12, 32 et 80 vCores.
Une fois intégrée, l’utilisation à partir d’Microsoft Sentinel espaces de travail commence à être facturée via les compteurs décrits précédemment plutôt que par la conservation à long terme existante (anciennement appelée Archive), la recherche ou les compteurs d’ingestion des journaux auxiliaires.
Graphe Microsoft Sentinel
Graphiques incorporés dans les portails Defender et Purview
Les visualisations de graphe de chasse et de rayon d’explosion dans le portail Microsoft Defender, ainsi que la gestion des risques internes et les Enquêtes sur la sécurité des données dans le portail Microsoft Purview, n’entraînent pas de frais de facturation ou de consommation. Pour en savoir plus sur les graphiques Microsoft Purview et Defender optimisés par Sentinel, consultez graphique Microsoft Sentinel.
L’accès aux graphiques Defender et Purview via la collection d’outils de graphe MCP entraîne des frais supplémentaires.
Graphiques personnalisés
Sentinel facturation de graphique personnalisée est basée sur la consommation, avec des opérations de graphique facturées par heure de calcul. Pour en savoir plus sur les graphiques personnalisés Microsoft Sentinel, consultez Graphiques personnalisés.
Les opérations de graphe personnalisées suivantes sont facturées par heure de calcul sous le compteur de graphe :
Création d’un graphique à l’aide de notebooks dans Visual Studio Code.
Interrogation d’un graphique à l’aide de notebooks dans Visual Studio Code.
Interrogation d’un graphe à l’aide d’expériences de graphiques Sentinel via le portail Defender.
Interrogation d’un graphique à l’aide des API de requête graph.
Interrogation d’un graphique à l’aide de Sentinel collection d’outils de graphe MCP.
Frais de graphe
Les frais de graphique sont calculés en tant qu’heures de base et temps d’exécution multipliés par le nombre de vCores dans la référence SKU sélectionnée fois le prix du compteur de graphe Sentinel. Il existe une seule option de référence SKU de graphe, qui utilise 49 vCores pour les opérations de génération de graphe et 6 vCores pour les requêtes de graphe, avec un temps d’exécution de requête minimal d’une minute.
Par exemple, lorsque vous exécutez un travail Notebook pendant une heure et que vous utilisez des API de graphe pour créer un graphique qui prend cinq minutes, le coût du graphe est calculé comme suit :
cost = 49 × (Price per vCore hour) × (5/60)
De même, si vos requêtes de graphe prennent une minute, le coût est déterminé comme suit :
cost = 6 × (Price per vCore hour) × (1/60)
Les calculs notebook/Spark et data lake storage utilisés pour les transformations de données afin de créer des nœuds et des arêtes pour le graphe sont facturés indépendamment selon les compteurs de lac de données Sentinel existants (Data Lake Storage et Advanced Data Insights).
Sentinel serveur MCP (Model Context Protocol)
Sentinel serveur MCP est une couche d’interface qui expose Sentinel fonctionnalités de plateforme aux agents IA. L’utilisation du serveur MCP lui-même n’entraîne aucun coût supplémentaire. Les outils MCP utilisent des services de plateforme Sentinel sous-jacents, tels que les requêtes de lac de données ou les opérations de graphique, qui sont facturés en fonction de leurs compteurs respectifs. En outre, certains outils, tels que l’analyseur d’entité, peuvent consommer des unités de calcul de sécurité (SKU) lorsque l’exécution du raisonnement IA est requise. Les clients sont facturés uniquement pour les services de plateforme sous-jacents et le calcul qu’ils consomment.
Microsoft Sentinel outils de lac de données MCP
Pour en savoir plus sur les outils de lac de données, consultez Collecte d’outils d’exploration de données dans Microsoft Sentinel serveur MCP.
L’installation et la configuration du serveur MCP unifié du Microsoft Sentinel n’entraînent aucun coût. Toutefois, l’utilisation des outils pour rechercher et récupérer des données à l’aide de requêtes Langage de requête Kusto (KQL) à partir de Microsoft Sentinel lac de données appelle le compteur de requêtes data lake. Pour plus d’informations, consultez Microsoft Sentinel tarification du lac de données.
analyseur d’entité MCP Microsoft Sentinel
Pour en savoir plus sur l’analyseur d’entité, consultez Analyseur d’entité.
Les clients sont facturés pour les unités de calcul de sécurité (SKU) utilisées pour le raisonnement IA qui génère l’analyse des risques d’entité, basée sur la prévalence, le renseignement sur les menaces et les relations.
Les droits d’Security Copilot existants s’appliquent. Toute utilisation qui dépasse votre droit Microsoft 365 E5 entraîne des frais supplémentaires. Les dépassements de SCU sont facturés uniquement lorsque l’utilisation dépasse votre montant provisionné, et les clients sont facturés uniquement pour les SCU consommées. Pour plus d’informations, consultez Sentinel facturation MCP et Bien démarrer avec Microsoft Security Copilot pour obtenir des informations sur les SKU.
En outre, lors de l’utilisation de l’analyseur d’entités, les clients sont facturés pour les requêtes KQL exécutées sur le lac de données Microsoft Sentinel.
outil de triage MCP Microsoft Sentinel
Pour en savoir plus sur l’outil de triage, consultez Collection d’outils de triage.
L’installation, la configuration et l’utilisation de l’outil de triage n’entraînent aucun coût, à condition que vous soyez intégré aux produits et services requis. Vous pouvez accéder au triage sans frais supplémentaires lorsque Microsoft Defender, Microsoft Defender pour point de terminaison ou Microsoft Sentinel est configuré dans le portail Microsoft Defender.
Comprendre votre facture Microsoft Sentinel
Les compteurs facturables sont les composants individuels de votre service qui apparaissent sur votre facture et sont affichés dans Microsoft Cost Management. À la fin de votre cycle de facturation, les frais pour chaque compteur sont additionnés. Votre facture affiche une section pour tous les coûts Microsoft Sentinel. Il existe un élément de ligne distinct pour chaque compteur.
Pour afficher votre facture Azure, sélectionnez Analyse des coûts dans le volet de navigation de gauche de Cost Management. Dans l’écran Analyse des coûts , recherchez et sélectionnez détails de la facture dans tous les affichages. Pour comprendre le niveau d’accès requis pour afficher les informations de facturation, consultez Gérer l’accès aux informations de facturation pour Azure.
Les coûts indiqués dans l’image suivante sont à titre d’exemple uniquement. Elles ne sont pas destinées à refléter les coûts réels. À compter du 1er juillet 2023, les niveaux tarifaires hérités sont précédés de Classic.
Microsoft Sentinel et les frais Log Analytics peuvent apparaître sur votre facture Azure sous forme d’éléments de ligne distincts en fonction du plan tarifaire sélectionné. Les niveaux tarifaires simplifiés sont représentés sous la forme d’un seul sentinel élément de ligne pour le niveau tarifaire. L’ingestion et l’analyse sont facturées quotidiennement. Si votre espace de travail dépasse son allocation d’utilisation du niveau d’engagement au cours d’un jour donné, la facture Azure affiche un élément de ligne pour le niveau d’engagement avec son coût fixe associé, et un élément de ligne distinct pour le coût au-delà du niveau d’engagement, facturé au même taux de niveau d’engagement effectif.
Les onglets suivants montrent comment Microsoft Sentinel coûts apparaissent dans les colonnes Nom du service et Compteur de votre facture Azure en fonction de votre niveau tarifaire simplifié.
Si vous êtes facturé au tarif simplifié du niveau d’engagement, ce tableau montre comment Microsoft Sentinel coûts apparaissent dans les colonnes Nom du service et Compteur de votre facture Azure.
| Description du coût | Nom du service | Compteur |
|---|---|---|
| niveau d’engagement Microsoft Sentinel | Sentinel |
n Niveau d’engagement go |
| Dépassement du niveau d’engagement Microsoft Sentinel | Sentinel |
Analyse |
Découvrez comment afficher et télécharger votre facture Azure.
Coûts et tarification des autres services
Microsoft Sentinel s’intègre à de nombreux autres services Azure, notamment Azure Logic Apps, Azure Notebooks et apportez vos propres modèles Machine Learning (BYOML). Certains de ces services peuvent avoir des frais supplémentaires. Certains connecteurs de données et solutions de Microsoft Sentinel utilisent Azure Functions pour l’ingestion des données, qui a également un coût associé distinct.
En savoir plus sur la tarification de ces services :
- Tarification Automation-Logic Apps
- Tarification des notebooks
- Tarification BYOML
- Azure Functions tarification
Tous les autres services que vous utilisez peuvent avoir des coûts associés.
Coûts de conservation des données interactifs et totaux
Après avoir activé Microsoft Sentinel sur un espace de travail Log Analytics, envisagez les options de configuration suivantes :
- Conservez gratuitement toutes les données ingérées dans l’espace de travail pendant les 90 premiers jours. La rétention au-delà de 90 jours est facturée selon les prix de rétention Standard de Log Analytics.
- Spécifiez différents paramètres de rétention pour les types de données individuels. En savoir plus sur la conservation par type de données.
- Étendez la conservation des données avec une conservation totale afin d’avoir accès aux journaux d’activité historiques. Le lac de données Microsoft Sentinel est un état de conservation à faible coût pour la conservation des données pour des éléments tels que la conformité réglementaire. Il est facturé en fonction du volume de données stockées et analysées. Utilisez les tables de gestion des > données pour ajuster la période de rétention analytique et totale et en savoir plus dans Qu’est-ce que Microsoft Sentinel lac de données ?
- Basculez les tables qui contiennent des données de sécurité secondaires vers le niveau Lake. Cela vous permet de stocker des journaux à faible valeur et à volume élevé à un prix bas, avec des fonctionnalités d’interrogation intégrées. Utilisez des tables de gestion des > données pour faire passer les tables du niveau Analytique au niveau Lake .
Autres coûts d’ingestion cef
CEF est un format d’événements Syslog pris en charge dans Microsoft Sentinel. Utilisez CEF pour importer des informations de sécurité précieuses provenant de différentes sources dans votre espace de travail Microsoft Sentinel. Les journaux CEF atterrissent dans la table CommonSecurityLog de Microsoft Sentinel, qui inclut tous les champs CEF à jour standard.
De nombreux appareils et sources de données prennent en charge la journalisation des champs au-delà du schéma CEF standard. Ces champs supplémentaires atterrissent dans la table AdditionalExtensions. Ces champs peuvent avoir des volumes d’ingestion plus élevés que les champs CEF standard, car le contenu de l’événement dans ces champs peut être variable.
Coûts qui peuvent s’accumuler après la suppression de la ressource
La suppression de Microsoft Sentinel ne supprime pas l’espace de travail Log Analytics sur lequel Microsoft Sentinel a été déployé, ni les frais distincts que l’espace de travail peut entraîner.
Sources de données gratuites
Les sources de données suivantes sont gratuites avec Microsoft Sentinel :
- journaux d’activité Azure
- Microsoft Sentinel Health
- Office 365 journaux d’audit, y compris l’activité SharePoint, l’activité d’administration Exchange et Teams
- Alertes de sécurité, y compris les alertes provenant des sources suivantes :
- Microsoft Defender XDR
- Microsoft Defender pour le cloud
- Microsoft Defender pour Office 365
- Microsoft Defender pour l’identité
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Alertes provenant des sources suivantes :
- Microsoft Defender pour le cloud
- Microsoft Defender for Cloud Apps
Bien que les alertes soient gratuites, les journaux bruts de certains types de données Microsoft Defender XDR, Defender pour point de terminaison/Identity/Office 365/Cloud Apps, Microsoft Entra ID et Azure Information Protection (AIP) sont payants.
Le tableau suivant répertorie les sources de données dans Microsoft Sentinel et Log Analytics qui ne sont pas facturées. Pour plus d’informations, consultez Tables exclues.
| connecteur de données Microsoft Sentinel | Type de données gratuit |
|---|---|
| activité Azure | AzureActivity |
| Surveillance de l’intégrité pour Microsoft Sentinel1 | SentinelHealth |
| protection Microsoft Entra ID | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender pour le cloud | SecurityAlert (Azure Security Center) |
| Microsoft Defender pour IoT | SecurityAlert (Azure Security Center pour IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender pour point de terminaison | SecurityAlert (MDATP) |
| Microsoft Defender pour l’identité | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender pour Office 365 (préversion) | SecurityAlert (OATP) |
1Pour plus d’informations, consultez Audit et surveillance de l’intégrité pour Microsoft Sentinel.
Pour les connecteurs de données qui incluent des types de données gratuits et payants, sélectionnez les types de données que vous souhaitez activer.
Découvrez comment connecter des sources de données, notamment des sources de données gratuites et payantes.
En savoir plus
- Surveiller les coûts des Microsoft Sentinel
- Réduire les coûts des Microsoft Sentinel
- Découvrez comment optimiser votre investissement dans le cloud avec Microsoft Cost Management.
- En savoir plus sur la gestion des coûts avec l’analyse des coûts.
- Découvrez comment éviter des coûts inattendus.
- Suivre le cours d’apprentissage guidé Cost Management .
- Pour obtenir d’autres conseils sur la réduction du volume de données Log Analytics, consultez bonnes pratiques Azure Monitor - Cost Management.