予想されるMicrosoft Sentinelコストを見積もるには、Microsoft Sentinel コスト見積もりツールを使用し、カスタム見積もりまたは追加のガイダンスについてセキュリティセールススペシャリストと直接連携します。
Microsoft Sentinelのコストは、Azure請求書の月額料金の一部にすぎません。 この記事では、コストを計画し、Microsoft Sentinelの課金を理解する方法について説明しますが、パートナー サービスを含め、Azure サブスクリプションで使用するすべてのAzure サービスとリソースに対して課金されます。
この記事は、Microsoft Sentinelのデプロイ ガイドの一部です。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
無料試用版
Azure Monitor Log Analytics ワークスペースでMicrosoft Sentinelを有効にすると、Analytics ログ プランを使用して取り込まれた最初の 10 GB/日は 31 日間無料です。 Log Analytics データ インジェストとMicrosoft Sentinel分析の両方のコストは、10 GB/日の制限まで、31 日間の試用期間中に免除されます。 この無料試用版には、テナントごとに 20 個のワークスペース制限Azure適用されます。
これらの制限を超えた使用量の課金方法については、「Microsoft Sentinel価格」ページを参照してください。 自動化と独自の機械学習の追加機能に関連する料金は、無料試用版およびデータ レイク関連の料金Microsoft Sentinel適用されます。
無料試用版では、Azure portalのMicrosoft Sentinelの [無料試用版] タブ>ニュース & ガイドで、コスト管理、トレーニングなどのリソースを見つけます。 このタブには、無料試用版の日付と、試用版の有効期限が切れるまでの残りの日数の詳細も表示されます。
Microsoft Sentinelの完全な課金モデルについて理解する
Microsoft Sentinelは、柔軟で予測可能な価格モデルを提供します。 詳細については、「Microsoft Sentinel価格」ページを参照してください。 2023 年 7 月より前のワークスペースでは、従来の価格レベルのMicrosoft Sentinelとは別に Log Analytics ワークスペースの料金が発生する可能性があります。 関連する Log Analytics 料金については、「Log Analytics の価格の監視Azure」を参照してください。
Microsoft Sentinelは、新しいリソースをデプロイするときにコストが発生するAzure インフラストラクチャで実行されます。 他にも追加のインフラストラクチャ コストが発生する可能性があることを理解しておくことが重要です。
Microsoft Sentinelに対する課金方法
価格は、データが取り込まれるレベルに基づいています。 レベルとプランの詳細については、「Microsoft Sentinelのデータ層」を参照してください。
Analytics レベル
分析レベルに対する支払いには、 従量課金 制と コミットメントレベルの 2 つの方法があります。
従量課金制 は、格納されている実際のデータ ボリュームに基づく既定のモデルであり、必要に応じて 90 日を超えるデータ保持に使用されます。 データ ボリュームは GB (109 バイト) で測定されます。
Log Analytics とMicrosoft Sentinelには、以前は容量予約と呼ばれるコミットメント レベルの価格があります。 これらの価格レベルは、予測可能な簡素化された価格レベルに組み合わされ、 従量課金 制の価格と比較して大幅な節約が提供されます。
コミットメント レベル の価格は、1 日あたり 100 GB から始まります。 コミットメント レベルを超えた使用量は、選択したコミットメント レベルレートで課金されます。 たとえば、 1 日あたり 100 GB のコミットメント レベルでは、コミットされた 100 GB のデータ ボリュームに加えて、そのレベルの割引有効率で余分な GB/日が課金されます。 [GB あたりの有効価格] は、単にMicrosoft Sentinel価格を階層 GB/日数量で割った値です。 詳細については、「Microsoft Sentinel価格」を参照してください。
データ 量の増加に合わせてコストを最適化するために、コミットメント レベルをいつでも増やします。 コミットメント レベルの引き下げは、31 日ごとにのみ許可されます。 現在のMicrosoft Sentinel価格レベルを表示するには、Microsoft Sentinelで [設定] を選択し、[価格] タブを選択します。現在の価格レベルは 、現在のレベルとしてマークされます。
コミットメントレベルを設定および変更するには、「価格レベルを 設定または変更する」を参照してください。 2023 年 7 月より前のワークスペースを簡素化された価格レベルエクスペリエンスに切り替えて、課金メーターを統合します。 または、引き続き従来の価格レベルを使用して、Log Analytics の価格を従来の価格Microsoft Sentinelクラシック価格から分離します。
Data Lake レベル
Microsoft Sentinel データ レイクの詳細については、「data lake のMicrosoft Sentinel」を参照してください。
データ レイク層では、さまざまなデータ レイク機能の使用状況に基づいて料金が発生します。
- データ レイクインジェスト は、保有期間がデータ レイク層のみに設定されたテーブルに取り込まれるすべてのデータに対して GB ごとに課金されます。 データ レイクインジェスト料金は、データが分析層とデータ レイク層の両方を含むように保持が設定されたテーブルに取り込まれる場合には適用されません。
- データ処理 は、データ レイク層にのみ保持が設定されたテーブルに取り込まれるデータに対して GB ごとに課金されます。 これは、編集、分割、フィルター処理、正規化などの変換をサポートします。 データ処理料金は、データが分析層とデータ レイク層の両方を含むようにリテンション期間が設定されたテーブルにデータが取り込まれる場合には適用されません。
- データ レイク ストレージ の料金は、分析層の保有期間が終了した後にデータ レイク層に残っているデータに対して、1 か月あたり GB 単位で適用されます。 料金は、6:1 の単純で均一なデータ圧縮率に基づいています。 たとえば、600 GB の生データを保持する場合、100 GB の圧縮データとして課金されます。
- Data Lake クエリ 料金は、ノートブック セッション内での使用、ノートブック ジョブの実行、またはカスタム グラフのノードとエッジの構築に使用されるコンピューティング時間ごとに適用されます。 コンピューティング時間は、ノートブック用に選択されたプール内のコア数と、セッションがアクティブであったか、ジョブが実行されていた時間を乗算することによって計算されます。 Data Lake ノートブック セッションとジョブは、12、32、80 の仮想コアのプールで使用できます。
オンボードされると、Microsoft Sentinel ワークスペースからの使用量は、既存の長期保有 (旧称アーカイブ)、検索、または補助ログ インジェスト メーターではなく、前に説明したメーターを通じて課金され始めます。
グラフのMicrosoft Sentinel
Defender ポータルと Purview ポータルの埋め込みグラフ
Microsoft Defender ポータルのハンティング グラフとブラスト半径の視覚化と、Microsoft Purview ポータルの Insider Risk Management とデータ セキュリティ調査では、課金や消費料金は発生しません。 Sentinelを利用した Microsoft Purview グラフと Defender グラフの詳細については、「Microsoft Sentinel グラフ」を参照してください。
MCP グラフ ツール コレクションを使用して Defender グラフと Purview グラフにアクセスすると、追加料金が発生します。
カスタム グラフ
Sentinelカスタム グラフの課金は従量課金ベースであり、グラフ操作はコンピューティング時間ごとに課金されます。 Microsoft Sentinelカスタム グラフの詳細については、「カスタム グラフ」を参照してください。
次のカスタム グラフ操作は、グラフ メーターのコンピューティング時間ごとに課金されます。
Visual Studio Code でノートブックを使用してグラフを作成する。
Visual Studio Code でノートブックを使用してグラフのクエリを実行する。
Defender ポータルを使用してSentinelグラフ エクスペリエンスを使用してグラフにクエリを実行する。
Graph クエリ API を使用したグラフのクエリ。
MCP グラフ ツール コレクションを使用してグラフSentinelクエリを実行する。
グラフの料金
グラフ料金は、コア時間時間の実行時間に、選択した SKU 内の仮想コアの数にSentinelグラフ メーターの価格を乗算して計算されます。 1 つのグラフ SKU オプションがあり、49 個の仮想コアをグラフ ビルド操作に使用し、グラフ クエリに 6 個の仮想コアを使用し、最小クエリ実行時間は 1 分です。
たとえば、ノートブック ジョブを 1 時間実行し、グラフ API を使用して 5 分かかるグラフを作成すると、グラフコストは次のように計算されます。
cost = 49 × (Price per vCore hour) × (5/60)
同様に、グラフ クエリの完了に 1 分かかる場合、コストは次のように決定されます。
cost = 6 × (Price per vCore hour) × (1/60)
グラフのノードとエッジを構築するためにデータ変換に使用されるノートブック/Spark コンピューティングと Data Lake ストレージは、既存のSentinel データ レイク メーター (Data Lake Storage と Advanced Data Insights) ごとに個別に課金されます。
Sentinel モデル コンテキスト プロトコル (MCP) サーバー
Sentinel MCP サーバーは、Sentinel プラットフォーム機能を AI エージェントに公開するインターフェイス レイヤーです。 MCP サーバー自体を使用するための追加コストはありません。 MCP ツールでは、基になるSentinel プラットフォーム サービス (データ レイク クエリやグラフ操作など) が使用されます。これは、それぞれのメーターに基づいて課金されます。 さらに、エンティティ アナライザーなどの特定のツールは、AI 推論の実行が必要な場合に セキュリティ コンピューティング ユニット (SCU) を 使用する場合があります。 お客様は、基になるプラットフォーム サービスと、使用するコンピューティングに対してのみ課金されます。
MCP データ レイク ツールのMicrosoft Sentinel
データ レイク ツールの詳細については、「Microsoft Sentinel MCP サーバーでのデータ探索ツールのコレクション」を参照してください。
Microsoft Sentinelの統合 MCP サーバーをインストールして構成しても、コストはかからなくなります。 ただし、ツールを使用して、data lake からKusto 照会言語 (KQL) クエリを使用してデータMicrosoft Sentinel検索および取得すると、データ レイク クエリ メーターが呼び出されます。 詳細については、「Microsoft Sentinel Data Lake の価格」を参照してください。
MCP エンティティ アナライザー Microsoft Sentinel
エンティティ アナライザーの詳細については、「 Entity Analyzer」を参照してください。
顧客には、有病率、脅威インテリジェンス、リレーションシップに基づくエンティティ リスク分析を生成する AI 推論に使用されるセキュリティ コンピューティング ユニット (SKU) が課金されます。
既存のSecurity Copilotエンタイトルメントが適用されます。 Microsoft 365 E5エンタイトルメントを超える使用量には追加料金が発生します。 SCU の超過分は、使用量がプロビジョニングされた金額を超えた場合にのみ課金され、顧客は使用された SKU に対してのみ課金されます。 詳細については、「MCP 課金のSentinel」および「SCU 情報のMicrosoft Security Copilotの概要」を参照してください。
さらに、エンティティ アナライザーを使用する場合、顧客は、Microsoft Sentinel データ レイクに対して実行される KQL クエリに対して課金されます。
Microsoft Sentinel MCP トリアージ ツール
トリアージ ツールの詳細については、「 トリアージ ツール コレクション」を参照してください。
トリアージ ツールのインストール、構成、および使用は、必要な製品とサービスにオンボードされている場合、コストはかからなくなります。 Microsoft Defender ポータルでMicrosoft Defender、Microsoft Defender for Endpoint、またはMicrosoft Sentinelを設定すると、追加料金なしでトリアージにアクセスできます。
Microsoft Sentinelの請求書を理解する
課金対象メーターは、請求書に表示されるサービスの個々のコンポーネントであり、Microsoft Cost Management に表示されます。 請求サイクルの終了時に、各メーターの料金が合計されます。 請求書または請求書には、すべてのMicrosoft Sentinelコストのセクションが表示されます。 メーターごとに個別の行項目があります。
Azure請求書を表示するには、Cost Management の左側のナビゲーションで [コスト分析] を選択します。 [コスト分析] 画面で、[すべてのビュー] から [請求書の詳細] を見つけて選択します。 課金情報を表示するために必要なアクセス レベルについては、「Azureの課金情報へのアクセスを管理する」を参照してください。
次の図に示すコストは、たとえば目的のみです。 実際のコストを反映するためのものではありません。 2023 年 7 月 1 日以降、従来の価格レベルにはクラシックがプレフィックスとして付 けられます。
Microsoft Sentinelと Log Analytics の料金は、選択した価格プランに基づいて個別の広告申込情報としてAzure請求に表示される場合があります。 簡略化された価格レベルは、価格レベルの 1 つの sentinel 品目として表されます。 インジェストと分析は、毎日課金されます。 ワークスペースが特定の日にコミットメント レベルの使用量の割り当てを超えた場合、Azure請求には、コミットメント レベルの 1 つの明細行項目と、関連付けられた固定コストが表示され、コミットメントレベルを超えるコストの個別の明細行項目が、同じ有効なコミットメント レベルレートで課金されます。
次のタブでは、簡略化された価格レベルに応じて、Azure請求の [サービス名] 列と [測定] 列にコストMicrosoft Sentinelがどのように表示されるかを示します。
簡易コミットメント レベルレートで課金される場合は、次の表に、Azure請求の [サービス名] 列と [測定] 列にコストをMicrosoft Sentinelする方法を示します。
| コストの説明 | サービス名 | メートル |
|---|---|---|
| Microsoft Sentinel コミットメント レベル | Sentinel |
n GB コミットメントレベル |
| Microsoft Sentinelコミットメント レベルの超過分 | Sentinel |
分析 |
Azureの請求書を表示してダウンロードする方法について説明します。
他のサービスのコストと価格
Microsoft Sentinelは、Azure Logic Apps、Azure Notebook、独自の機械学習 (BYOML) モデルなど、他の多くのAzure サービスと統合されています。 これらのサービスの一部には追加料金が発生する場合があります。 Microsoft Sentinelのデータ コネクタとソリューションの一部では、データ インジェストにAzure Functionsを使用します。これは、別の関連コストもあります。
これらのサービスの価格について説明します。
使用するその他のサービスには、関連するコストが発生する可能性があります。
対話型および合計データ保有コスト
Log Analytics ワークスペースでMicrosoft Sentinelを有効にした後、次の構成オプションを検討してください。
- 最初の 90 日間、ワークスペースに取り込まれたすべてのデータを無料で保持します。 90 日を超えるリテンション期間は、標準 の Log Analytics 保有価格に従って課金されます。
- 個々のデータ型に異なる保持設定を指定します。 データ型別のリテンション期間について説明します。
- 履歴ログにアクセスできるように、総保有期間でデータの保持を拡張します。 Microsoft Sentinel データ レイクは、規制コンプライアンスなどのデータを保持するための低コストの保持状態です。 これは、格納およびスキャンされたデータの量に基づいて課金されます。 データ管理>テーブルを使用して、分析と総保有期間を調整し、詳細については、「データ レイクMicrosoft Sentinelとは」を参照してください。
- セカンダリ セキュリティ データを含むテーブルを Lake レベルに切り替えます。 これにより、大量の低価値のログを低価格で格納でき、クエリ機能が組み込まれています。 データ管理>テーブルを使用して、テーブルを Analytics レベルから Lake レベルに切り替えます。
その他の CEF インジェスト コスト
CEF は、Microsoft Sentinelでサポートされている Syslog イベント形式です。 CEF を使用して、さまざまなソースからMicrosoft Sentinel ワークスペースに貴重なセキュリティ情報を取り込みます。 CEF ログは、すべての標準の最新の CEF フィールドを含む、Microsoft Sentinelの CommonSecurityLog テーブルに格納されます。
多くのデバイスとデータ ソースでは、標準の CEF スキーマを超えたログ フィールドがサポートされています。 これらの追加フィールドは、AdditionalExtensions テーブルに格納されます。 これらのフィールド内のイベント コンテンツは可変であるため、これらのフィールドのインジェスト ボリュームは標準の CEF フィールドよりも大きくなる可能性があります。
リソースの削除後に発生する可能性があるコスト
Microsoft Sentinelを削除しても、デプロイされた Log Analytics ワークスペースMicrosoft Sentinelや、ワークスペースが発生する可能性がある個別の料金は削除されません。
無料のデータ ソース
次のデータ ソースは、Microsoft Sentinelで無料です。
- アクティビティ ログのAzure
- Microsoft Sentinel正常性
- Office 365監査ログ (すべての SharePoint アクティビティ、Exchange 管理者アクティビティ、Teams を含む)
- 次のソースからのアラートを含むセキュリティ アラート。
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- 次のソースからのアラート:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
アラートは無料ですが、一部のMicrosoft Defender XDRの生ログ、Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID、Azure Information Protection (AIP) のデータ型が支払われます。
次の表に、課金されないMicrosoft Sentinelと Log Analytics のデータ ソースを示します。 詳細については、「 除外されたテーブル」を参照してください。
1詳細については、「Microsoft Sentinelの監査と正常性の監視」を参照してください。
無料データ型と有料データ型の両方を含むデータ コネクタの場合は、有効にするデータ型を選択します。
無料データ ソースや有料 データ ソースなど、データ ソースを接続する方法について詳しくは、こちらをご覧ください。
詳細情報
- Microsoft Sentinelのコストを監視する
- Microsoft Sentinelのコストを削減する
- Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
- コスト分析を使用したコスト管理の詳細については、こちらをご覧ください。
- 予期しないコストを防ぐ方法について説明します。
- Cost Management ガイド付き学習コースを受講します。
- Log Analytics データ量の削減に関するその他のヒントについては、「Azure監視のベスト プラクティス - コスト管理」を参照してください。