Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel
Quando si pianifica la distribuzione di Microsoft Sentinel, in genere si vogliono comprendere i relativi modelli di determinazione prezzi e fatturazione per ottimizzare i costi. I dati di analisi della sicurezza di Microsoft Sentinel vengono archiviati in un'area di lavoro Log Analytics di Monitoraggio di Azure. La fatturazione si basa sul volume di dati analizzati in Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics. Il costo di entrambi è combinato in un piano tariffario semplificato. Altre informazioni sui piani tariffari semplificati o altre informazioni sui prezzi di Microsoft Sentinel in generale.
Prima di aggiungere risorse per Microsoft Sentinel, usare il calcolatore prezzi di Azure per stimare i costi.
I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.
Questo articolo fa parte della Guida alla distribuzione per Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Versione di prova gratuita
Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics di Monitoraggio di Azure e i primi 10 GB al giorno sono gratuiti per 31 giorni. Il costo per l'inserimento dati di Log Analytics e gli addebiti per l'analisi di Microsoft Sentinel fino al limite di 10 GB al giorno vengono rinunciati durante il periodo di valutazione di 31 giorni. Questa versione di valutazione gratuita è soggetta a un limite di 20 aree di lavoro per ogni tenant di Azure.
L'utilizzo oltre questi limiti viene addebitato in base ai prezzi elencati nella pagina dei prezzi di Microsoft Sentinel. Gli addebiti relativi alle funzionalità aggiuntive per l'automazione e bring your own Machine Learning sono ancora applicabili durante la versione di valutazione gratuita.
Durante la versione di valutazione gratuita, trovare risorse per la gestione dei costi, la formazione e altro ancora nella scheda Notizie e guide > Versione di valutazione gratuita in Microsoft Sentinel. Questa scheda visualizza anche i dettagli sulle date della versione di valutazione gratuita e sul numero di giorni rimanenti fino alla scadenza della versione di valutazione.
Identificare le origini dati e pianificare i costi di conseguenza
Identificare le origini dati da inserire o pianificare l'inserimento nell'area di lavoro in Microsoft Sentinel. Microsoft Sentinel consente di inserire dati da una o più origini dati. Alcune di queste origini dati sono gratuite e altre comportano addebiti. Per altre informazioni, vedere Origini dati gratuite.
Stimare i costi e la fatturazione prima di usare Microsoft Sentinel
Usare il calcolatore prezzi di Microsoft Sentinel per stimare i costi nuovi o modificati. Immettere Microsoft Sentinel nella casella Di ricerca e selezionare il riquadro di Microsoft Sentinel risultante. Il calcolatore dei prezzi consente di stimare i probabili costi in base all'inserimento e alla conservazione previsti per i dati.
Ad esempio, immettere i GB di dati giornalieri che si prevede di inserire in Microsoft Sentinel e l'area per l'area di lavoro. Il calcolatore fornisce il costo mensile aggregato tra questi componenti:
- Microsoft Sentinel: log di analisi e log di base
- Monitoraggio di Azure: Conservazione
- Monitoraggio di Azure: Ripristino dati
- Monitoraggio di Azure: query di ricerca e processi di ricerca
Informazioni sul modello di fatturazione completo per Microsoft Sentinel
Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Per altre informazioni, vedere la pagina dei prezzi di Microsoft Sentinel. Le aree di lavoro precedenti a luglio 2023 potrebbero avere addebiti per l'area di lavoro Log Analytics separati da Microsoft Sentinel in un piano tariffario classico. Per i relativi addebiti per Log Analytics, vedere Prezzi di Log Analytics per Monitoraggio di Azure.
Microsoft Sentinel viene eseguito nell'infrastruttura di Azure che accumula costi quando si distribuiscono nuove risorse. È importante comprendere che potrebbero verificarsi altri costi di infrastruttura aggiuntivi che potrebbero accumularsi.
Come vengono addebitati i costi per Microsoft Sentinel
I prezzi si basano sui tipi di log inseriti in un'area di lavoro. I log di analisi costituiscono in genere la maggior parte dei log di sicurezza di alto valore. I log di base tendono a essere dettagliati con un valore di sicurezza basso. È importante notare che la fatturazione viene eseguita ogni giorno per ogni area di lavoro per tutti i tipi di log e i livelli.
Log di analisi
Esistono due modi per pagare i log di analisi: livelli con pagamento in base al consumo e impegno.
Pagamento in base al consumo è il modello predefinito, in base al volume di dati effettivo archiviato e facoltativamente per la conservazione dei dati oltre 90 giorni. Il volume di dati viene misurato in GB (109 byte).
Log Analytics e Microsoft Sentinel hanno prezzi del piano di impegno, denominati in precedenza Prenotazioni di capacità. Questi piani tariffari vengono combinati in piani tariffari semplificati che sono più prevedibili e offrono risparmi sostanziali rispetto ai prezzi con pagamento in base al consumo .
I prezzi del piano di impegno iniziano a 100 GB al giorno. Qualsiasi utilizzo al di sopra del livello di impegno viene fatturato alla tariffa del livello di impegno selezionata. Ad esempio, un livello di impegno di 100 GB fattura il volume di dati di 100 GB di cui è stato eseguito il commit, oltre a qualsiasi GB/giorno aggiuntivo alla tariffa scontata per tale livello.
Aumentare il livello di impegno in qualsiasi momento per ottimizzare i costi man mano che aumenta il volume di dati. L'abbassamento del livello di impegno è consentito solo ogni 31 giorni. Per visualizzare il piano tariffario corrente di Microsoft Sentinel, selezionare Impostazioni in Microsoft Sentinel e quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Livello corrente.
Per impostare e modificare il livello di impegno, vedere Impostare o modificare il piano tariffario. Passare a qualsiasi area di lavoro precedente a luglio 2023 all'esperienza semplificata dei piani tariffari per unificare i contatori di fatturazione. In alternativa, continuare a usare i piani tariffari classici che separano i prezzi di Log Analytics dai prezzi classici di Microsoft Sentinel. Per altre informazioni, vedere Piani tariffari semplificati.
Log di base
I log di base hanno un prezzo ridotto e vengono addebitati a una tariffa fissa per GB. Hanno le limitazioni seguenti:
- Funzionalità di query ridotte
- Conservazione di otto giorni
- Nessun supporto per gli avvisi pianificati
I log di base sono più adatti per l'uso nell'automazione dei playbook, nelle query ad hoc, nelle indagini e nella ricerca. Per altre informazioni, vedere Configurare i log di base in Monitoraggio di Azure.
Piani tariffari semplificati
I piani tariffari semplificati combinano i costi di analisi dei dati per Microsoft Sentinel e i costi di archiviazione di inserimento di Log Analytics in un unico piano tariffario. Lo screenshot seguente mostra il piano tariffario semplificato usato da tutte le nuove aree di lavoro.
Passare a qualsiasi area di lavoro configurata con i piani tariffari classici ai piani tariffari semplificati. Per altre informazioni su come passare a nuovi prezzi, vedere Iscriversi a un piano tariffario semplificato.
La combinazione dei piani tariffari offre una semplificazione dell'esperienza complessiva di fatturazione e gestione dei costi, inclusa la visualizzazione nella pagina dei prezzi e un minor numero di passaggi che stimano i costi nel calcolatore di Azure. Per aggiungere ulteriore valore ai nuovi livelli semplificati, il vantaggio microsoft Defender per server P2 corrente che concede 500 MB di inserimento dei dati di sicurezza in Log Analytics viene esteso ai piani tariffari semplificati. Questa modifica aumenta notevolmente il vantaggio finanziario dell'inserimento dei dati idonei in Microsoft Sentinel per ogni macchina virtuale (VM) protetta in questo modo. Per altre informazioni, vedere Domande frequenti - Vantaggi di Microsoft Defender per server P2 che concedono 500 MB.
Informazioni sulla fattura di Microsoft Sentinel
I contatori fatturabili sono i singoli componenti del servizio visualizzati nella fattura e vengono visualizzati in Gestione costi Microsoft. Al termine del ciclo di fatturazione, vengono sommati i costi per ogni contatore. La fattura o la fattura mostra una sezione per tutti i costi di Microsoft Sentinel. È presente una voce separata per ogni contatore.
Per visualizzare la fattura di Azure, selezionare Analisi dei costi nel riquadro di spostamento sinistro di Gestione costi. Nella schermata Analisi costi selezionare il cursore a discesa nel campo Visualizza e selezionare Dettagli fattura.
I costi illustrati nell'immagine seguente sono solo a scopo esemplificativo. Non sono destinati a riflettere i costi effettivi. A partire dal 1° luglio 2023, i piani tariffari legacy hanno il prefisso Classic.
Gli addebiti di Microsoft Sentinel e Log Analytics potrebbero essere visualizzati nella fattura di Azure come voci separate in base al piano tariffario selezionato. I piani tariffari semplificati sono rappresentati come una singola sentinel voce per il piano tariffario. L'inserimento e l'analisi vengono fatturati su base giornaliera. Se l'area di lavoro supera l'allocazione di utilizzo del livello di impegno in un determinato giorno, la fattura di Azure mostra una voce per il livello di impegno con il costo fisso associato e una voce separata per il costo oltre il livello di impegno, fatturata con la stessa tariffa effettiva del livello di impegno.
Le schede seguenti illustrano come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure in base al piano tariffario semplificato.
Se la tariffa del livello di impegno semplificata viene fatturata, questa tabella mostra come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure.
| Descrizione dei costi | Nome servizio | Contatore |
|---|---|---|
| Livello di impegno di Microsoft Sentinel | Sentinel |
n Livello di impegno GB |
| Eccedenza del livello di impegno di Microsoft Sentinel | Sentinel |
Analisi |
Informazioni su come visualizzare e scaricare la fattura di Azure.
Costi e prezzi per altri servizi
Microsoft Sentinel si integra con molti altri servizi di Azure, tra cui App per la logica di Azure, Azure Notebooks e modelli BYOML (Bring Your Own Machine Learning). Alcuni di questi servizi potrebbero avere costi aggiuntivi. Alcuni connettori dati e soluzioni di Microsoft Sentinel usano Funzioni di Azure per l'inserimento dei dati, con un costo associato separato.
Informazioni sui prezzi per questi servizi:
- Prezzi di App per la logica di Automazione
- Prezzi dei notebook
- Prezzi di BYOML
- Prezzi di Funzioni di Azure
Qualsiasi altro servizio usato potrebbe avere costi associati.
Costi di conservazione dei dati e log archiviati
Dopo aver abilitato Microsoft Sentinel in un'area di lavoro Log Analytics, prendere in considerazione queste opzioni di configurazione:
- Conservare tutti i dati inseriti nell'area di lavoro gratuitamente per i primi 90 giorni. La conservazione oltre 90 giorni viene addebitata in base ai prezzi di conservazione standard di Log Analytics.
- Specificare impostazioni di conservazione diverse per i singoli tipi di dati. Informazioni sulla conservazione in base al tipo di dati.
- Abilitare la conservazione a lungo termine per i dati e avere accesso ai log cronologici abilitando i log archiviati. L'archivio dati è un livello di conservazione a basso costo per l'archiviazione. Viene addebitato in base al volume di dati archiviati e analizzati. Informazioni su come configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure. I log archiviati sono in anteprima pubblica.
La conservazione di 90 giorni non si applica ai log di base. Se si vuole estendere la conservazione dei dati per i log di base oltre otto giorni, archiviare i dati nei log archiviati per un massimo di sette anni.
Altri costi di inserimento CEF
CEF è un formato di eventi Syslog supportato in Microsoft Sentinel. Usare CEF per inserire informazioni di sicurezza preziose da varie origini all'area di lavoro di Microsoft Sentinel. I log CEF vengono inseriti nella tabella CommonSecurityLog in Microsoft Sentinel, che include tutti i campi CEF standard aggiornati.
Molti dispositivi e origini dati supportano campi di registrazione oltre lo schema CEF standard. Questi campi aggiuntivi vengono inseriti nella tabella AdditionalExtensions. Questi campi potrebbero avere volumi di inserimento superiori rispetto ai campi CEF standard, perché il contenuto dell'evento all'interno di questi campi può essere variabile.
Costi che potrebbero accumularsi dopo l'eliminazione delle risorse
La rimozione di Microsoft Sentinel non rimuove l'area di lavoro Log Analytics in cui è stato distribuito Microsoft Sentinel o eventuali addebiti separati che potrebbero essere addebitati per l'area di lavoro.
Origini dati gratuite
Le origini dati seguenti sono gratuite con Microsoft Sentinel:
- Log attività di Azure
- Log di controllo di Office 365, incluse tutte le attività di SharePoint, l'attività di amministrazione di Exchange e Teams
- Avvisi di sicurezza, inclusi gli avvisi delle origini seguenti:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender per Office 365
- Microsoft Defender per identità
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Avvisi provenienti dalle origini seguenti:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
Anche se gli avvisi sono gratuiti, vengono pagati i log non elaborati per alcuni tipi di dati Microsoft Defender XDR, Defender per il cloud Apps, Microsoft Entra ID e Azure Information Protection (AIP).
La tabella seguente elenca le origini dati in Microsoft Sentinel e Log Analytics che non vengono addebitate. Per altre informazioni, vedere Tabelle escluse.
| Connettore dati di Microsoft Sentinel | Tipo di dati gratuito |
|---|---|
| Log attività di Azure | AzureActivity |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender per il cloud | SecurityAlert (Defender per il cloud) |
| Microsoft Defender per IoT | SecurityAlert (Defender per IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender per endpoint | SecurityAlert (MDATP) |
| Microsoft Defender per identità | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (app Defender per il cloud) |
Per i connettori dati che includono tipi di dati gratuiti e a pagamento, selezionare i tipi di dati da abilitare.
Altre informazioni su come connettere le origini dati, incluse le origini dati gratuite e a pagamento.
Altre informazioni
- Monitorare i costi per Microsoft Sentinel
- Ridurre i costi per Microsoft Sentinel
- Informazioni su come ottimizzare l'investimento nel cloud con Microsoft Cost Management.
- Altre informazioni sulla gestione dei costi con l'analisi dei costi.
- Informazioni su come Evitare costi imprevisti.
- Seguire il corso di apprendimento guidato Gestione dei costi.
- Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Procedure consigliate di Monitoraggio di Azure - Gestione costi.
Passaggi successivi
In questo articolo si è appreso come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel.