コストを計画し、Microsoft Sentinel の価格と課金を理解する

Microsoft Sentinel のデプロイを計画するときは、通常、コストを最適化できるように、Microsoft Sentinel の価格と課金モデルを理解する必要があります。 Microsoft Sentinel のセキュリティ分析データは、Azure Monitor Log Analytics ワークスペースに格納されます。 課金は Microsoft Sentinel と Azure Monitor Log Analytics ワークスペース ストレージ内にあるそのデータ量に基づきます。 詳細については、「Azure Sentinel の価格」を参照してください。

Microsoft Sentinel のリソースを追加する前に、Azure 料金計算ツールを使用して、コストを見積もることができます。

Microsoft Sentinel のコストは、Azure で課金される月額料金の一部でしかありません。 この記事では、Microsoft Sentinel のコストを計画し、課金を把握する方法について説明しますが、パートナーのサービスを含め、課金は、Azure サブスクリプションで使用されるすべての Azure サービスとリソースが対象になります。

無料試用版

最初の 31 日間無料で Microsoft Sentinel をお試しください。 Microsoft Sentinel は、Azure Monitor Log Analytics ワークスペースで、以下に示す制限に従って、追加コストなしで有効にできます。

  • 新しい Log Analytics ワークスペースでは、最初の 31 日間、最大で 1 日 10 GB のログ データを無料で取り込むことができます。 新しいワークスペースには、3 日を経過していないワークスペースが含まれます。

    31 日間の試用期間中、Log Analytics のデータ インジェストと Microsoft Sentinel の料金が免除されます。 この無料試用版には、Azure テナントごとに 20 個のワークスペースという制限が適用されます。

  • 既存の Log Analytics ワークスペースでは、追加のコストなしで Microsoft Sentinel を有効にできます。 既存のワークスペースには、作成後の経過時間が 3 日を超えているワークスペースが含まれます。

    31 日間の試用期間中、Microsoft Sentinel の料金のみが免除されます。

これらの制限を超える使用量については、Microsoft Sentinel の価格に関するページに記載されている価格に従って課金されます。 自動化独自の機械学習用の追加機能に関連する料金は、無料試用中であっても適用されます。

無料試用版では、Microsoft Sentinel の[News guides > Free trial (ニュース ガイド無料試用版)] タブで、コスト管理やトレーニングなどのリソースを利用できます。 このタブには、無料試用版の日付と、有効期限が切れるまでの残り日数に関する詳細も表示されます。

データ ソースを特定し、それに応じてコストを計画する

Microsoft Sentinel でワークスペースに取り込んでいる、または取り込む予定のデータ ソースを特定します。 Microsoft Sentinel を使用すると、1 つ以上のデータ ソースからデータを取り込むことができます。 これらのデータ ソースには、無料のものと、料金が発生するものがあります。 詳細については、「無料データ ソース」を参照してください。

Microsoft Sentinel を使用する前にコストと課金を見積もる

Microsoft Sentinel をまだ使用していない場合は、Microsoft Sentinel 料金計算ツールを使用して、予想コストを見積もることができます。 検索ボックスに「Microsoft Sentinel」と入力し、結果の Microsoft Sentinel タイルを選択します。 料金計算ツールを使用すると、予想されるデータの取り込みと保持期間に基づいて、考え得るコストを見積もることができます。

たとえば、Microsoft Sentinel に取り込むことが予想される 1 日当たりの GB 数と、ワークスペースのリージョンを入力できます。 計算ツールにより、これらのコンポーネント全体の 1 か月の総コストが提供されます。

  • Azure Monitor データ インジェスト: 分析ログと基本ログ
  • Microsoft Sentinel Data Analytics: 分析ログと基本ログ
  • データの保持
  • データ アーカイブ (アーカイブされたログ)
  • 基本ログのクエリ

Microsoft Sentinel の詳細な課金モデルを理解する

Microsoft Sentinel には、柔軟で予測可能な価格モデルが用意されています。 詳細については、Microsoft Sentinel の価格ページを参照してください。 関連する Log Analytics の料金については、Azure Monitor Log Analytics の価格に関する記事を参照してください。

Microsoft Sentinel は、新しいリソースをデプロイするときにコストが発生する Azure インフラストラクチャ上で実行されます。 その他のインフラストラクチャ コストが追加で発生する可能性があることを理解しておくことが重要です。

Microsoft Sentinel での課金方法

Microsoft Sentinel は、ワークスペースに取り込まれるログの種類に基づいて、柔軟な価格を提供します。 通常、セキュリティ価値の高いログの大部分を占めるのは分析ログです。 基本ログは詳細で、セキュリティ価値が低くなる傾向があります。

分析ログ

分析ログには、従量課金制コミットメント レベルという 2 つの支払い方法があります。

  • 従量課金制は既定のモデルであり、、格納されている実際のデータ量に基づき、必要に応じて 90 日より長くデータを保持できます。 データ ボリュームは GB 単位 (10^9 バイト) で測定されます。

  • Log Analytics と Microsoft Sentinel にはコミットメント レベルの価格 (旧称、容量予約) も用意されています。これは、予測可能であり、従量課金制の価格と比較して最大で 65% も節約されます。

    コミットメント レベルの価格では、100 GB/日からコミットメントを購入できます。 コミットメント レベルを超える使用量には、お客様が選択したコミットメント レベル レートで課金されます。 たとえば、コミットメント レベルが 100 GB の場合、コミットされた 100 GB のデータ量に加えて、そのレベルの割引料金で GB/日の追加分が請求されます。

    コミットメント レベルは、増やすのはいつでも、減らすのは 31 日ごとに可能で、データ量の増減に合わせてコストを最適化できます。 Microsoft Sentinel の現在の価格レベルを確認するには、Microsoft Sentinel の左側のナビゲーションで [設定] を選択してから、 [価格] タブを選択します。現在の価格レベルには、 [現在のレベル] と表示されます。

    コミットメント レベルの設定と変更については、「価格レベルを設定または変更する」を参照してください。

基本ログ (プレビュー)

基本ログの価格は低く、GB あたりの固定料金で課金されます。 次の制限事項があります。

  • クエリ機能が制限されています
  • 8 日間の保持期間
  • スケジュールされたアラートはサポートされていません

基本ログは、プレイブックの自動化、アドホッククエリ、調査、検索で使用するのに最適です。 詳細については、「Azure Monitor での基本ログの構成」を参照してください。

Microsoft Sentinel の課金内容を確認する

課金対象の測定は、請求書に記載されるサービスの個々のコンポーネントであり、サービスのコスト分析にも表示されます。 請求期間終了時に、各測定の料金が合計されます。 請求書では、Microsoft Sentinel のすべてのコストに関するセクションが示されます。 測定ごとに個別の行項目があります。

Azure の請求書を表示するには、Cost Management + Billing の左側のナビゲーションで [コスト分析] を選択します。 [コスト分析] 画面で、 [表示] フィールドのドロップダウン キャレットを選択し、 [請求書の詳細] を選択します。

以下の画像で示されているコストは、例示のみを目的としたものです。 実際のコストを反映したものではありません。

コスト見積もりの参考になる、サンプルの Azure 請求書の Microsoft Sentinel セクションを示すスクリーンショット。

Azure の請求書には、Microsoft Sentinel と Log Analytics の料金が、選択されている価格プランに基づく個別の明細項目として表示されます。 特定の月についてワークスペースのコミットメント レベルの使用量を超過した場合、Azure の請求書には、コミットメント レベルとそれに関連する固定費が示された 1 つの明細項目と、コミットメント レベルを超えたインジェストについて、同じコミットメント レベルの料金で請求された別の明細項目が表示されます。

次のタブに、価格レベルに応じて、Azure の請求書の [サービス名] 列と [測定] 列に Microsoft Sentinel と Log Analytics のコストがどのように表示されるかを示します。

コミットメント レベル レートで課金される場合、この表は Azure の請求書の [サービス名] 列と [測定] 列に Microsoft Sentinel と Log Analytics のコストがどのように表示されるかを示します。

コストの説明 [サービス名] 測定
Microsoft Sentinel コミットメント レベル sentinel gb コミットメント レベル
Log Analytics コミットメント レベル azure monitor gb コミットメント レベル
Microsoft Sentinel のコミットメント レベル超過分 sentinel analysis
Log Analytics のコミットメント レベル超過分 log analytics data ingestion
基本ログのデータ インジェスト azure monitor データ インジェスト - 基本ログ
基本ログのデータ分析 sentinel 分析 - 基本ログ

Azure の請求書の表示とダウンロード」の方法を参照してください。

その他のサービスのコストと価格

Microsoft Sentinel は、Azure Logic Apps、Azure Notebooks、Bring Your Own Machine Learning (BYOML) モデルなど、他の多くの Azure サービスと統合されています。 一部のサービスには追加料金がかかる場合があります。 Microsoft Sentinel のデータ コネクタとソリューションの一部では、データ インジェストに Azure Functions が使用され、それに関連して別途コストがかかります。

これらのサービスの価格について説明します。

使用するその他のサービスで、関連するコストが発生する可能性があります。

データ保持とアーカイブされたログのコスト

Log Analytics ワークスペースで Microsoft Sentinel を有効にすると:

  • そのワークスペースに取り込まれたすべてのデータを、最初の 90 日間は無料で保持できます。 90 日を超えて保持すると、標準の Log Analytics 保持価格に従って課金されます。
  • 個々のデータの種類に異なる保持設定を指定できます。 「データ型別のリテンション期間」を参照してください。
  • また、ログのアーカイブを有効にすることで、データの長期保有を有効にし、履歴ログにアクセスすることもできます。 データ アーカイブは、アーカイブ ストレージ用の低コストのデータ保持レイヤーです。 格納およびスキャンされたデータの量に基づいて課金されます。 「Azure Monitor ログでデータ保持とアーカイブポリシーを構成する」方法を参照してください。 アーカイブされたログはパブリック プレビューの段階にあります。

90 日間の保持期間は、基本ログには適用されません。 基本ログのデータ保持期間を 8 日を超えて延長する場合は、そのデータをアーカイブされたログに最大 7 年間保存できます。

他の CEF インジェスト コスト

CEF は、Microsoft Sentinel でサポートされている Syslog イベント形式です。 CEF を使用して、さまざまなソースから Microsoft Sentinel ワークスペースに重要なセキュリティ情報を取り込むことができます。 CEF ログは Microsoft Sentinel の CommonSecurityLog テーブルに格納され、これにはすべての標準的な最新の CEF フィールドが含まれます。

多くのデバイスとデータ ソースでは、標準の CEF スキーマを超えるフィールドのログ記録をサポートします。 これらの追加フィールドは、AdditionalExtensions テーブルに格納されます。 これらのフィールド内のイベント コンテンツは可変でもかまわないため、これらのフィールドは標準の CEF フィールドよりインジェスト量が多くなる可能性があります。

リソースの削除後に発生する可能性があるコスト

Microsoft Sentinel を削除しても、Microsoft Sentinel がデプロイされた Log Analytics ワークスペース、またはそのワークスペースで発生した可能性がある個別の料金は削除されません。

無料データ ソース

次のデータ ソースは、Microsoft Sentinel では無料です。

  • Azure アクティビティ ログ。
  • Office 365 監査ログ (すべての SharePoint アクティビティ、Exchange 管理者アクティビティ、Teams を含む)。
  • Microsoft Defender for Cloud、Microsoft 365 Defender、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Endpoint からのアラートなどのセキュリティ アラート。
  • Microsoft Defender for Cloud と Microsoft Defender for Cloud Apps のアラート。

アラートは無料ですが、Microsoft 365 Defender、Defender for Cloud Apps、Azure Active Directory (Azure AD)、Azure Information Protection (AIP) の一部のデータの種類の生ログは有料です。

次の表は、Microsoft Sentinel で有効にできる無料のデータ ソースの一覧です。

Microsoft Sentinel データ コネクタ 無料のデータ型
Azure Activity Logs AzureActivity
Azure AD Identity Protection SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender for Cloud SecurityAlert (Defender for Cloud)
Microsoft Defender for IoT SecurityAlert (Defender for IoT)
Microsoft 365 Defender SecurityIncident
SecurityAlert
Microsoft Defender for Endpoint SecurityAlert (MDATP)
Microsoft Defender for Identity SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (Defender for Cloud Apps)

無料と有料両方のデータの種類が含まれるデータ コネクタの場合は、有効にするデータの種類を選択できます。

無料のセキュリティ アラートが選択され、有料の MCAS Shadow IT Reporting が選択されていない、Defender for Cloud Apps の [データ コネクタ] ページのスクリーンショット。

無料データ ソースや有料 データ ソースなど、データ ソースを接続する方法の詳細について説明します。

次のステップ