Planifier les coûts et comprendre la tarification et la facturation de Microsoft Sentinel
Lorsque vous planifiez votre déploiement Microsoft Sentinel, vous souhaitez généralement comprendre les modèles de tarification et de facturation de Microsoft Sentinel, afin de pouvoir optimiser vos coûts. Les données d’analytique de sécurité Microsoft Sentinel sont stockées dans un espace de travail Log Analytics Azure Monitor. La facturation est basée sur le volume de ces données analysées dans Microsoft Sentinel et sont stockées dans l'espace de travail Log Analytics. Le coût des deux est combiné dans un niveau tarifaire simplifié. Apprenez-en davantage sur les niveaux tarifaires simplifiés ou en savoir plus sur la tarification de Microsoft Sentinel en général.
Avant d’ajouter des ressources pour Microsoft Sentinel, utilisez la calculatrice de prix Azure pour estimer vos coûts.
Les coûts pour Microsoft Sentinel ne représentent qu’une partie des coûts mensuels sur votre facture Azure. Cet article explique comment prévoir les coûts et comprendre la facturation pour Microsoft Sentinel. Tous les services et ressources Azure utilisés par votre abonnement Azure, dont les services partenaires, vous sont toutefois facturés.
Cet article fait partie du Guide de déploiement de Microsoft Sentinel.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Essai gratuit
Activez Microsoft Sentinel sur un espace de travail Azure Monitor Log Analytics et les 10 premiers Go/jour sont gratuits pendant 31 jours. Le coût de l’ingestion de données Log Analytics et des frais d’analyse Microsoft Sentinel jusqu’à la limite de 10 Go/jour est annulé pendant la période d’essai de 31 jours. Cette version d’essai gratuite est soumise à une limite de 20 espaces de travail par locataire Azure.
L’utilisation au-delà de ces limites est facturée en fonction de la tarification indiquée sur la page Tarification Microsoft Sentinel. Les frais liés aux fonctionnalités supplémentaires d’automatisation et de BYOML (apportez votre propre machine learning) sont toujours applicables durant l’essai gratuit.
Pendant votre essai gratuit, recherchez des ressources pour la gestion des coûts, la formation et bien plus encore sous l’onglet Nouveautés et guides > Essai gratuit dans Microsoft Sentinel. Cet onglet affiche également des détails sur les dates de votre essai gratuit ainsi que le nombre de jours restants avant son expiration.
Identifier les sources de données et planifier les coûts en conséquence
Identifiez les sources de données qui sont ou seront ingérées dans votre espace de travail au sein de Microsoft Sentinel. Microsoft Sentinel vous permet d’importer des données à partir d’une ou de plusieurs sources de données. Certaines de ces sources de données sont gratuites, et d’autres engendrent des frais. Pour plus d’informations, consultez Sources de données gratuites.
Estimer les coûts et la facturation avant d’utiliser Microsoft Sentinel
Utilisez la calculatrice de prix Microsoft Sentinel pour estimer les coûts nouveaux ou le changement de tarification. Entrez Microsoft Sentinel dans la zone de recherche puis sélectionnez la vignette Microsoft Sentinel obtenue. La calculatrice de prix vous aide à estimer vos coûts probables en fonction de l’ingestion et de la conservation des données que vous prévoyez.
Par exemple, vous pouvez saisir le nombre de Go de données quotidiennes que vous prévoyez d’ingérer dans Microsoft Sentinel, ainsi que la région de votre espace de travail. La calculatrice fournit le coût mensuel global pour les composants suivants :
- Microsoft Sentinel : journaux d’activité d’analyse et journaux d’activité basiques
- Azure Monitor : rétention
- Azure Monitor : Restauration des données
- Azure Monitor : Requêtes de recherche et travaux de recherche
Comprendre le modèle de facturation complet pour Microsoft Sentinel
Microsoft Sentinel offre un modèle de tarification flexible et prévisible. Pour plus d’informations, voir la page tarification de Microsoft Sentinel. Les espaces de travail antérieurs à juillet 2023 peuvent avoir des frais d’espace de travail Log Analytics distincts de Microsoft Sentinel au sein d’un niveau tarifaire classique. Pour connaître les frais connexes de Log Analytics, consultez Tarification Azure Monitor pour Log Analytics.
Microsoft Sentinel s’exécute sur l’infrastructure Azure qui cumule les coûts lorsque vous déployez de nouvelles ressources. Il est important de comprendre qu’il peut y avoir d’autres coûts d’infrastructure supplémentaires susceptibles de s’accumuler.
Comment vous êtes facturé pour Microsoft Sentinel
La tarification dépend des types de journaux ingérés par l’espace de travail. Les journaux d’analytique constituent généralement la majeure partie des journaux à haute valeur sécuritaire. Les journaux de base ont tendance à être détaillés tout en offrant une faible valeur de sécurité. Il est important de noter que la facturation s’effectue quotidiennement par espace de travail pour tous les types et niveaux de journaux.
Journaux d’analytique
Il existe deux modes de paiement des journaux d’analytique : le paiement à l’utilisation et les niveaux d’engagement.
Le paiement à l’utilisation est le modèle par défaut, basé sur le volume réel de données stockées et, éventuellement, sur la conservation des données au-delà de 90 jours. Le volume de données est mesuré en Go (109 octets).
Log Analytics et Microsoft Sentinel ont des tarifs de niveau d’engagement, anciennement appelés réservations de capacité. Ces niveaux tarifaires sont combinés en niveaux tarifaires simplifiés qui sont plus prévisibles et offrent des économies substantielles par rapport aux tarifs de paiement à l’utilisation.
La tarification du niveau d’engagement commence à 100 Go par jour. Toute utilisation dépassant le niveau d’engagement est facturée au tarif du niveau d’engagement que vous avez sélectionné. Par exemple, un niveau d’engagement de 100 Go par jour vous facture le volume de données engagé de 100 Go, plus tout Go/jour supplémentaire au tarif effectif réduit pour ce niveau. Le tarif effectif par Go est simplement le prix de Microsoft Sentinel divisé par la quantité de Go par jour du niveau. Pour plus d’informations, consultez Tarification Microsoft Sentinel.
Augmentez votre niveau d’engagement à tout moment pour optimiser les coûts au fur et à mesure que votre volume de données augmente. L’abaissement du niveau d’engagement n’est autorisé que tous les 31 jours. Pour voir votre niveau tarifaire Microsoft Sentinel actuel, sélectionnez Paramètres dans le volet de navigation gauche de Microsoft Sentinel, puis sélectionnez l’onglet Tarification. Votre niveau tarifaire actuel est marqué en tant que Niveau actuel.
Pour définir et modifier votre niveau d’engagement, consultez la section Définir ou modifier le niveau tarifaire. Basculez les espaces de travail antérieurs à juillet 2023 vers l’expérience de niveaux tarifaires simplifiés pour unifier les compteurs de facturation. Vous pouvez également continuer à utiliser les niveaux tarifaires classiques qui séparent les tarifs Log Analytics de la tarification classique de Microsoft Sentinel. Pour plus d’informations, consultez Niveaux tarifaires simplifiés.
Journaux d’activité auxiliaires et journaux d’activité basiques
Les journaux d’activité basiques sont une option à faible coût et les journaux d’activité auxiliaires constituent une option super-économique pour l’ingestion de sources de données à volume élevé et à faible valeur. Ils sont facturés à un tarif fixe et abordable par Go. Ils présentent les limitations suivantes (entre autres) :
- Fonctionnalités d’interrogation réduites
- Conservation interactive de 30 jours
- Aucune prise en charge des alertes planifiées
Les deux de journaux sont adaptés pour une utilisation dans l’automatisation des guides opérationnels, l’interrogation ad hoc, les investigations et la recherche. Pour plus d’informations, consultez l’article suivant :
- Plans de rétention des journaux dans Microsoft Sentinel
- Sources de journal à utiliser pour l’ingestion de journaux d’activité auxiliaires
Pour connaître la différence entre la conservation des données interactive et la conservation à long terme (anciennement appelée archive), consultez Gérer la conservation des données dans un espace de travail Log Analytics.
Important
Le type de journal Journaux d’activité auxiliaires est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Niveaux tarifaires simplifiés
Les niveaux tarifaires simplifiés combinent les coûts d’analyse des données pour Microsoft Sentinel et les coûts de stockage d’ingestion de Log Analytics en un seul niveau tarifaire. La capture d’écran suivante montre le niveau tarifaire simplifié utilisé par tous les nouveaux espaces de travail.
Basculez n’importe quel espace de travail configuré avec des niveaux tarifaires classiques vers les niveaux tarifaires simplifiés. Pour plus d’informations sur la façon de basculer vers une nouvelle tarification, consultez S’inscrire à un niveau tarifaire simplifié.
La combinaison des niveaux tarifaires offre une simplification de l’expérience globale de facturation et de gestion des coûts, notamment la visualisation dans la page de tarification et moins d’étapes d’estimation des coûts dans la calculatrice Azure. Pour ajouter davantage de valeur aux nouveaux niveaux simplifiés, l’avantage actuel Microsoft Defender pour serveurs P2 accordant une ingestion de données de sécurité de 500 Mo dans Log Analytics est étendu aux niveaux tarifaires simplifiés. Cette modification augmente considérablement l’avantage financier de l’intégration des données éligibles ingérées dans Microsoft Sentinel pour chaque machine virtuelle protégée de cette manière. Pour plus d’informations, consultez FAQ : Microsoft Defender pour serveurs P2 bénéficie d’une attribution de 500 Mo.
Comprendre votre facture Microsoft Sentinel
Les compteurs facturables sont les composants individuels de votre service qui apparaissent sur votre facture et sont également affichés dans Microsoft Cost Management. À la fin de votre cycle de facturation, les frais associés à chaque compteur sont additionnés. Votre facture contient une section pour tous les coûts Microsoft Sentinel. Chaque compteur est représenté par un élément de ligne distinct.
Pour voir votre facture Azure, sélectionnez Analyse des coûts dans le volet de navigation gauche de Cost Management. Sur l’écran Analyse des coûts, recherchez et sélectionnez les Détails de la facture dans Tous les affichages.
Les coûts indiqués dans l’image suivante sont donnés à titre d’exemple uniquement. Ils ne sont pas destinés à refléter les coûts réels. À compter du 1er juillet 2023, les niveaux tarifaires hérités sont précédés de Classic.
Les frais relatifs à Microsoft Sentinel et à Log Analytics s’affichent sur votre facture Azure sous la forme de lignes distinctes en fonction du plan tarifaire sélectionné. Les niveaux tarifaires simplifiés sont représentés sous la forme d’un élément de ligne unique sentinel pour le niveau tarifaire. L’ingestion et l’analyse sont facturées quotidiennement. Si votre espace de travail dépasse l’allocation d’utilisation de son niveau d’engagement un certain jour, la facture Azure aura une ligne pour le niveau d’engagement avec son coût fixe associé et une ligne distincte pour l’ingestion au-delà du niveau d’engagement, facturée au taux effectif du niveau d’engagement.
Les onglets suivants montrent comment apparaissent les coûts Microsoft Sentinel dans les colonnes Nom du service et Compteur de votre facture Azure en fonction de votre niveau tarifaire simplifié.
Si vous bénéficiez du tarif du niveau d’engagement simplifié, ce tableau montre comment apparaissent les coûts Microsoft Sentinel dans les colonnes Nom du service et Compteur de votre facture Azure.
| Description du coût | Nom du service | Compteur |
|---|---|---|
| Niveau d’engagement Microsoft Sentinel | Sentinel |
niveau d’engagement de n Go |
| Dépassement du niveau d’engagement Microsoft Sentinel | Sentinel |
Analyse |
Découvrez comment voir et télécharger votre facture Azure.
Coûts et tarification pour d’autres services
Microsoft Sentinel s’intègre à de nombreux autres services Azure, notamment Azure Logic Apps, Azure Notebooks et apportez vos propres modèles BYOML (Machine Learning). Certains de ces services pourraient entraîner des frais supplémentaires. Certains connecteurs de données et solutions de Microsoft Sentinel utilisent Azure Functions pour l’ingestion des données, qui a également un coût associé distinct.
En savoir plus sur la tarification de ces services :
- Tarification Automation-Logic Apps
- Tarification Notebooks
- Tarification BYOML
- Tarification d’Azure Functions
Tout autre service que vous utilisez peut avoir des coûts associés.
Coûts de la conservation des données interactive et à long terme
Après avoir activé Microsoft Sentinel sur un espace de travail Log Analytics, envisagez les options de configuration suivantes :
- Vous pouvez conserver gratuitement toutes les données ingérées dans l'espace de travail pendant les 90 premiers jours. La conservation des données au-delà de 90 jours est facturée selon les tarifs standard de Log Analytics pour la conservation des données.
- Vous pouvez spécifier différents paramètres de conservation des données pour des types de données individuels. Découvrez la rétention par type de données.
- Activez la rétention à long terme pour vos données afin d’avoir accès aux journaux d’activité historiques. La conservation à long terme est un état de rétention à faible coût pour la conservation des données des éléments tels que la conformité réglementaire. Elle est facturée en fonction du volume de données stockées et analysées. Découvrez comment Configurer des stratégies de conservation des données interactive et à long terme dans les journaux Azure Monitor.
- Inscrivez des tables contenant des données de sécurité secondaires dans le plan des journaux d’activité auxiliaires. Ce plan vous permet de stocker des journaux à volume élevé et à faible valeur à bas prix, à moindre coût avec une période de rétention interactive de 30 jours au début pour permettre la synthèse et l’interrogation de base. Pour en savoir plus sur le plan de journaux d’activité auxiliaires et d’autres plans, consultez Plans de rétention des journaux dans Microsoft Sentinel.
Autres coûts d’ingestion CEF
Le CEF est un format d’événements Syslog pris en charge dans Microsoft Sentinel. Vous pouvez utiliser le CEF pour apporter de précieuses informations de sécurité provenant de diverses sources à votre espace de travail Microsoft Sentinel. Les journaux CEF atterrissent dans la table CommonSecurityLog de Microsoft Sentinel, qui comprend tous les champs CEF standard à jour.
De nombreux appareils et sources de données prennent en charge des champs de journalisation au-delà du schéma CEF standard. Ces champs supplémentaires atterrissent dans la table AdditionalExtensions. Ces champs peuvent avoir des volumes d’ingestion plus élevés que les champs CEF standard, car le contenu des événements dans ces champs peut être variable.
Coûts qui peuvent s’additionner après la suppression des ressources
La suppression de Microsoft Sentinel n’entraîne pas la suppression de l’espace de travail Log Analytics sur lequel Microsoft Sentinel a été déployé, ni de frais distincts que l’espace de travail peut encourir.
Sources de données gratuites
Les sources de données suivantes sont gratuites avec Microsoft Sentinel :
- Journaux d’activité Azure
- Intégrité Microsoft Sentinel
- Journaux d’audit d’Office 365, y compris toute l’activité SharePoint, l’activité de l’administrateur Exchange et Teams
- Alertes de sécurité, y compris les alertes provenant des sources suivantes :
- Microsoft Defender XDR
- Microsoft Defender pour le cloud
- Microsoft Defender pour Office 365
- Microsoft Defender pour Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Alertes provenant des sources suivantes :
- Microsoft Defender pour le cloud
- Microsoft Defender for Cloud Apps
Bien que les alertes soient gratuites, les journaux bruts pour certains types de données de Microsoft Defender XDR, de Defender pour point de terminaison/Identité/Office 365/ applications cloud, de Microsoft Entra ID et d’Azure Information Protection (AIP) sont payants.
Le tableau suivant répertorie les sources de données dans Microsoft Sentinel et Log Analytics qui ne sont pas facturées. Pour plus d’informations, consultez Tables exclues.
| Connecteur de données Microsoft Sentinel | Type de données gratuit |
|---|---|
| Journaux d’activité Azure | AzureActivity |
| Monitoring de l’intégrité pour Microsoft Sentinel 1 | SentinelHealth |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender pour le cloud | SecurityAlert (Defender pour le Cloud) |
| Microsoft Defender pour IoT | SecurityAlert (Defender pour l’IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender pour Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (Defender pour les applications cloud) |
1 Pour plus d’informations, consultez Audit et monitoring de l’intégrité pour Microsoft Sentinel.
Pour les connecteurs de données qui incluent à la fois des types de données gratuits et payants, vous pouvez sélectionner les types de données que vous souhaitez activer.
Découvrez comment connecter des sources de données, notamment des sources de données gratuites et payantes.
En savoir plus
- Monitoring des coûts de Microsoft Sentinel
- Réduction des coûts de Microsoft Sentinel
- Découvrez comment optimiser votre investissement cloud avec Microsoft Cost Management.
- Apprenez-en davantage sur la gestion des coûts avec l’analyse du coût.
- Découvrez comment éviter des coûts imprévus.
- Suivez le cours d’apprentissage guidé Cost Management.
- Pour obtenir des conseils supplémentaires sur la réduction du volume de données Log Analytics, consultez Meilleures pratiques Azure Monitor : Gestion des coûts.
Étapes suivantes
Dans cet article, vous avez appris à planifier les coûts et à comprendre la facturation de Microsoft Sentinel.