コストを計画し、Microsoft Sentinel の価格と課金を理解する
Microsoft Sentinel のデプロイを計画するにあたっては通常、コストを最適化できるように、価格と課金モデルを理解する必要があります。 Microsoft Sentinel のセキュリティ分析データは、Azure Monitor の Log Analytics ワークスペースに保存されます。 課金は Microsoft Sentinel で "分析された" データと Log Analytics ワークスペースに "保存された" データの量に基づいて行われます。 両方のコストが組み合わされて簡略化された価格レベルとなっています。 簡略化された価格レベルの詳細を確認するか、Microsoft Sentinel の価格全般の詳細を確認してください。
Microsoft Sentinel のリソースを追加する前に、Azure 料金計算ツールを使用して、コストを見積もることができます。
Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストを計画し、課金を把握する方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースが対象になります。
この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
無料試用版
Azure Monitor の Log Analytics ワークスペースで Microsoft Sentinel を有効にすると、1 日あたり最初の 10 GB が 31 日間無料です。 31 日間の試用期間中は、Log Analytics のデータ インジェスト料金と Microsoft Sentinel の分析料金の両方を合わせたコストは 1 日最大 10 GB の上限までは免除されます。 この無料試用版には、Azure テナントごとに 20 個のワークスペースという制限が適用されます。
これらの制限を超える使用量については、Microsoft Sentinel の価格に関するページに記載されている価格に従って課金されます。 自動化と独自の機械学習用の追加機能に関連する料金は、無料試用中であっても適用されます。
無料試用中は、Azure Sentinel の [ニュースとガイド] > [無料試用版] タブで、コスト管理やトレーニングなどのリソースを利用できます。 このタブには、無料試用版の日付と、試用期限が切れるまでの残り日数に関する詳細も表示されます。
データ ソースを特定し、それに応じてコストを計画する
Microsoft Sentinel でワークスペースに取り込んでいる、または取り込む予定のデータ ソースを特定します。 Microsoft Sentinel を使用すると、1 つ以上のデータ ソースからデータを取り込むことができます。 これらのデータ ソースには、無料のものと、料金が発生するものがあります。 詳細については、「無料データ ソース」を参照してください。
Microsoft Sentinel を使用する前にコストと課金を見積もる
Microsoft Sentinel 価格計算ツールを使用して、新規または変更されるコストを見積もります。 検索ボックスに「Microsoft Sentinel」と入力し、結果の Microsoft Sentinel タイルを選択します。 料金計算ツールを使用すると、予想されるデータの取り込みと保持期間に基づいて、考え得るコストを見積もることができます。
たとえば、Microsoft Sentinel に取り込むことが予想される 1 日当たりのデータの GB 数と、ワークスペースのリージョンを入力します。 計算ツールにより、これらのコンポーネント全体の 1 か月の総コストが提供されます。
- Microsoft Sentinel: 分析ログと基本ログ
- Azure Monitor: データ保持
- Azure Monitor: データ復元
- Azure Monitor: 検索クエリと検索ジョブ
Microsoft Sentinel の詳細な課金モデルを理解する
Microsoft Sentinel には、柔軟で予測可能な価格モデルが用意されています。 詳細については、Microsoft Sentinel の価格ページを参照してください。 2023 年 7 月より前のワークスペースでは、クラシック価格レベルにおいて Log Analytics ワークスペースの料金は Microsoft Sentinel とは別になっている場合があります。 関連する Log Analytics の料金については、Azure Monitor Log Analytics の価格に関する記事を参照してください。
Microsoft Sentinel は、新しいリソースをデプロイするときにコストが発生する Azure インフラストラクチャ上で実行されます。 その他のインフラストラクチャ コストが追加で発生する可能性があることを理解しておくことが重要です。
Microsoft Sentinel での課金方法
価格はワークスペースに取り込まれるログの種類に基づいています。 通常は分析ログが価値の高いセキュリティ ログの大部分を占めます。 基本ログは詳細で、セキュリティ価値が低くなる傾向があります。 すべてのログの種類と階層について、ワークスペースごとに 1 日単位で課金が行われることに注意してください。
分析ログ
分析ログには、従量課金制とコミットメント レベルという 2 つの支払い方法があります。
従量課金制は既定のモデルであり、、格納されている実際のデータ量に基づき、必要に応じて 90 日より長くデータを保持できます。 データ量は GB 単位 (109 バイト) で測定されます。
Log Analytics と Microsoft Sentinel には、以前は容量予約と呼ばれていたコミットメント レベル価格があります。 これらの価格レベルは、より予測がしやすく、従量課金制価格と比較して大幅な節約となる簡略化された価格レベルに合わせて組み込まれています。
コミットメント レベル価格は 1 日 あたり 100 GB からとなっています。 コミットメント レベルを超える使用量には、お客様が選択したコミットメント レベル レートで課金されます。 たとえば、コミットメント レベルが 100 GB の場合、コミットされた 100 GB のデータ量に加えて、そのレベルの割引料金で GB/日の追加分が請求されます。
コミットメント レベルはいつでも増やしてデータ量が増加するに伴いコストを最適化することができます。 コミットメント レベルの引き下げは、31 日ごとにのみ可能です。 Microsoft Sentinel の現在の価格レベルを確認するには、Microsoft Sentinel の [設定] を選択してから、[価格] タブを選択します。現在の価格レベルは、[現在のレベル] とマークされています。
コミットメント レベルの設定と変更については、「価格レベルを設定または変更する」を参照してください。 2023 年 7 月より前のすべてのワークスペースを、簡略化された価格レベルのエクスペリエンスに切り替えて、課金メーターを統合します。 または、従来の Microsoft Sentinel クラシック価格から Log Analytics の価格を分離するクラシック価格レベルを引き続き使用します。 詳細については、「簡略化された価格レベル」を参照してください。
基本ログ
基本ログの価格は低く、GB あたりの固定料金で課金されます。 次の制限事項があります。
- クエリ機能が制限されています
- 8 日間の保持期間
- スケジュールされたアラートはサポートされていません
基本ログは、プレイブックの自動化、アドホッククエリ、調査、検索で使用するのに最適です。 詳細については、「Azure Monitor での基本ログの構成」を参照してください。
簡略化された価格レベル
簡略化された価格レベルでは、Microsoft Sentinel のデータ分析コストと Log Analytics のインジェスト ストレージ コストが 1 つの価格レベルに合わせて組み込まれます。 次のスクリーンショットは、すべての新しいワークスペースで使用される簡略化された価格レベルを示しています。
従来の価格レベルで構成されているワークスペースを、簡略化された価格レベルに切り替えます。 新しい価格に切り替える方法の詳細については、「簡略化された価格レベルに登録する」を参照してください。
価格レベルを組み合わせることで、価格ページでの視覚化や、Azure 計算ツールでのコストの見積もり手順の削減など、全体的な課金とコスト管理のエクスペリエンスが簡素化されます。 新しい簡略化されたレベルの価値をさらに高めるために、現在の Microsoft Defender for Servers P2 における 500 MB の Log Analytics へのセキュリティ データ インジェストを付与する特典が、簡略化された価格レベルにまで拡張されました。 これにより、この方法で保護された各仮想マシン (VM) の Microsoft Sentinel に特典範囲内のデータを取り込むことの財務上の利点が大幅に向上します。 詳細については、FAQ - Microsoft Defender for Servers P2 特典 500 MB の付与に関するページを参照してください。
Microsoft Sentinel の課金内容を確認する
課金対象の測定は、請求書に記載され Microsoft Cost Management に表示されるサービスの個々のコンポーネントです。 請求期間終了時に、各測定の料金が合計されます。 請求書では、Microsoft Sentinel のすべてのコストに関するセクションが示されます。 測定ごとに個別の行項目があります。
Azure の請求書を表示するには、[Cost Management] の左側のナビゲーションで [コスト分析] を選択します。 [コスト分析] 画面で、 [表示] フィールドのドロップダウン キャレットを選択し、 [請求書の詳細] を選択します。
以下の画像で示されているコストは、例示のみを目的としたものです。 実際のコストを反映したものではありません。 2023 年 7 月 1 日以降、レガシ価格レベルには Classic というプレフィックスが付きます。
選択した価格プランよって Azure の請求書には Microsoft Sentinel と Log Analytics の料金が個別の明細項目として表示される場合があります。 簡略化された価格レベルは、該当価格レベルの 1 つの sentinel 明細項目として表されます。 インジェストと分析は毎日課金されます。 どれか特定の日にワークスペースがそのコミットメント レベル使用量割り当てを超過した場合、Azure の請求書には、コミットメント レベルの明細項目がそれに関連する固定費と共に 1 つ表示され、コミットメント レベルを超えたコストに対する別の明細項目が同じ有効なコミットメント レベルの料金で請求されて表示されます。
次のタブは、簡略化された価格レベルに応じて、Azure の請求書の [サービス名] 列と [測定] 列に Microsoft Sentinel のコストがどのように表示されるかを示します。
簡略化されたコミットメント レベル料金で課金される場合、この表は Azure の請求書の [サービス名] 列と [測定] 列に Microsoft Sentinel のコストがどのように表示されるかを示します。
| コストの説明 | [サービス名] | 測定 |
|---|---|---|
| Microsoft Sentinel コミットメント レベル | Sentinel |
n GB コミットメント レベル |
| Microsoft Sentinel コミットメント レベル超過分 | Sentinel |
分析 |
「Azure の請求書の表示とダウンロード」の方法を参照してください。
その他のサービスのコストと価格
Microsoft Sentinel は、Azure Logic Apps、Azure Notebooks、Bring Your Own Machine Learning (BYOML) モデルなど、他の多くの Azure サービスと統合されています。 一部のサービスには追加料金がかかる場合があります。 Microsoft Sentinel のデータ コネクタとソリューションの一部では、データ インジェストに Azure Functions が使用され、それに関連して別途コストがかかります。
これらのサービスの価格について説明します。
使用するその他のサービスで、関連するコストが発生する可能性があります。
データ保持とアーカイブされたログのコスト
Log Analytics ワークスペースで Microsoft Sentinel を有効にしたら、次の構成オプションを検討します。
- そのワークスペースに取り込まれたすべてのデータを、最初の 90 日間無料で保持します。 90 日を超えて保持すると、標準の Log Analytics 保持価格に従って課金されます。
- 個々のデータの種類に対して異なる保持設定を指定します。 「データ型別のリテンション期間」を参照してください。
- アーカイブ ログを有効にすることで、データの長期保有を有効にし、履歴ログにアクセスします。 データ アーカイブは、アーカイブ ストレージ用の低コストのデータ保持レイヤーです。 格納およびスキャンされたデータの量に基づいて課金されます。 「Azure Monitor ログでデータ保持とアーカイブポリシーを構成する」方法を参照してください。 アーカイブされたログはパブリック プレビューの段階にあります。
90 日間の保持期間は、基本ログには適用されません。 基本ログのデータ保持期間を 8 日を超えるように延長する場合は、そのデータをアーカイブ ログに最大 7 年間保存できます。
他の CEF インジェスト コスト
CEF は、Microsoft Sentinel でサポートされている Syslog イベント形式です。 CEF を使用して、さまざまなソースから Microsoft Sentinel ワークスペースに重要なセキュリティ情報を取り込みます。 CEF ログは Microsoft Sentinel の CommonSecurityLog テーブルに格納され、これにはすべての標準的な最新の CEF フィールドが含まれます。
多くのデバイスとデータ ソースでは、標準の CEF スキーマを超えるフィールドのログ記録をサポートします。 これらの追加フィールドは、AdditionalExtensions テーブルに格納されます。 これらのフィールド内のイベント コンテンツは可変でもかまわないため、これらのフィールドは標準の CEF フィールドよりインジェスト量が多くなる可能性があります。
リソースの削除後に発生する可能性があるコスト
Microsoft Sentinel を削除しても、Microsoft Sentinel がデプロイされた Log Analytics ワークスペース、またはそのワークスペースで発生した可能性がある個別の料金は削除されません。
無料データ ソース
次のデータ ソースは、Microsoft Sentinel では無料です。
- Azure Activity Logs
- Office 365 監査ログ (すべての SharePoint アクティビティ、Exchange 管理者アクティビティ、Teams を含む)
- 次のソースからのアラートを含むセキュリティ アラート:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- 次のソースからのアラート:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
アラートは無料ですが、Microsoft Defender XDR、Defender for Cloud Apps、Microsoft Entra ID、Azure Information Protection (AIP) の一部のデータの種類の生ログは有料です。
次の表に、課金されない Microsoft Sentinel と Log Analytics のデータ ソースを一覧表示します。 詳細については、「除外されたテーブル」を参照してください。
| Microsoft Sentinel データ コネクタ | 無料のデータ型 |
|---|---|
| Azure Activity Logs | AzureActivity |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Defender for Cloud) |
| Microsoft Defender for IoT | SecurityAlert (Defender for IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (Defender for Cloud Apps) |
無料と有料両方のデータの種類が含まれるデータ コネクタに対しては、どちらのデータの種類を有効にしたいかを選択します。
![無料のセキュリティ アラートが選択され、有料の MCAS Shadow IT Reporting データ接続が有効になっていない、Defender for Cloud Apps の [データ コネクタ] ページのスクリーンショット。](media/billing/data-types.png#lightbox)
無料データ ソースや有料 データ ソースなど、データ ソースを接続する方法の詳細について説明します。
詳細情報
- Microsoft Sentinel のコストを監視する
- Microsoft Sentinel のコストを削減する
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用してコストを管理する方法について詳細に説明します。
- 予期しないコストを回避する方法について説明します。
- Cost Management のガイド付き学習コースを受講します。
- Log Analyticsのデータ量を減らすためのその他のヒントについては、Azure Monitorのコスト管理のベストプラクティスに関するページを参照してください。
次のステップ
この記事では、コストを計画し、Microsoft Sentinel の課金を理解する方法について説明しました。