Microsoft Sentinel の簡略化された価格レベルに切り替える

2023 年 7 月より前に作成された多くの Microsoft Sentinel ワークスペースの場合、Azure Monitor Log Analytics には、Microsoft Sentinel の従来の価格レベルに加えて、個別の価格レベルがあります。 Log Analytics のデータ インジェスト コストと Microsoft Sentinel のデータ分析コストを組み合わせるには、ワークスペースを簡略化された価格レベルに登録します。

Prerequisites

• Log Analytics ワークスペースの価格レベルは、簡略化された価格レベルに登録する前に、従量課金制またはコミットメント レベルである必要があります。 Log Analytics のレガシ価格レベルはサポートされていません。
• Microsoft Sentinel は、2023 年 7 月より前にワークスペースで有効になりました。 2023 年 7 月以降、Microsoft Sentinel を有効にするワークスペースは、既定として簡略化された価格エクスペリエンスに自動的に設定されます。
• 価格レベルを変更するには、Microsoft Sentinel ワークスペースの 共同作成者 または 所有者 が必要です。

簡略化された価格レベルに変更する

従来の価格レベルは、Microsoft Sentinel と Log Analytics の価格レベルが個別に構成され、請求書に異なるメーターとして表示される場合です。 同じ価格測定に対して Microsoft Sentinel と Log Analytics の請求を組み合わせた簡略化された価格レベルに移行するには、新しい価格に切り替えます。

Microsoft Sentinel

Microsoft Sentinel ポータルを使用してワークスペースの価格レベルを変更するには、次のステップを実行します。 切り替えを実行したら、このインターフェイスを使用して従来の価格レベルに戻すことはできません。

1. [設定] メニューの [新しい価格に切り替える] を選択します。

   

2. 現在のレベルを確認し、レベルに不一致がある 推奨 レベルを検討します。

3. 一般的なインジェストに基づいて、[統合価格レベル] プルダウン メニューから選択肢を選びます。

4. [ OK] を 選択して確定します。

Azure Resource Manager

Azure Resource Manager テンプレートを使用して価格レベルを設定するには、次の値を設定します。

• Microsoft.OperationsManagement/solutions sku名前をUnifiedに設定します。
• capacityReservationLevelを価格レベルに設定します。

このテンプレート形式の詳細については、 Microsoft.OperationalInsights ワークスペースを参照してください。

次のサンプル テンプレートでは、300 GB/日のコミットメント レベルについて、Microsoft Sentinel の簡略化された価格を構成します。 簡略化された価格レベルを従量課金制に設定するには、capacityReservationLevel プロパティ値を省略して capacityreservation を pergb2018 に変更します。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "Unified" 
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 300 
                } 
            } 
        } 
    ] 
}

従来の価格レベルに戻すことができるのは、2023 年 7 月より前に有効になっていた Microsoft Sentinel を持つテナントのみです。 元に戻すには、Microsoft.OperationsManagement/solutionssku 名を capacityreservation に設定し、両方のセクションの capacityReservationLevel を適切な価格レベルに設定します。

次のサンプル テンプレートでは、Microsoft Sentinel を従量課金制のクラシック価格レベルに設定し、Log Analytic ワークスペースを 100 GB/日のコミットメント レベルに設定します。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "PerGB", 
                    "capacityReservationLevel":
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 100 
                } 
            } 
        } 
    ] 
} 

Resource Manager テンプレートの使用の詳細については、「サンプル テンプレートをデプロイする」をご覧ください。

Terraform または Bicep でこのテンプレートを実装する方法については 、ここから始めます。

専用クラスターの簡略化された価格レベル

従来の価格レベルでは、Microsoft Sentinel はワークスペース レベルで常にセカンダリ測定として請求されていました。 Microsoft Sentinel の測定は、ワークスペースの全体の測定とは異なる場合があります。

簡略化された価格レベルでは、クラスターで使用されるのと同じコミットメント レベルと課金モードが Microsoft Sentinel ワークスペースに設定されます。 Microsoft Sentinel の使用量は、そのレベルの測定の有効な GB あたりの価格で請求され、すべての使用量は専用クラスターの総割り当てにカウントされます。 この割り当ては、クラスター レベルであるか、クラスターの課金モードに応じてワークスペース レベルで比例的に割り当てられます。 詳細については、「コストの詳細 - 専用クラスター」をご覧ください。

専用クラスターの課金の例

次のクラスター シナリオを比較して、Microsoft Sentinel 対応ワークスペースを専用クラスターに追加する際の簡略化された価格について理解を深めてください。

例 1: 専用クラスターは、コミットメントレベルレベルよりも 多くの データを取り込みますが、次に高いレベル (理想的) の下に取り込みます。

次の表は、3 ワークスペース専用クラスターが 1 日あたり 5,000 GB のコミットメント レベルよりも多くのデータを取り込んでいる 2 つのシナリオを示しています。 どちらのシナリオでも、A と B というラベルの付いた最初の 2 つのワークスペースは、Microsoft Sentinel が有効になっていません。 ワークスペース A は 1 TB のデータを取り込み、ワークスペース B は 2 TB のデータを取り込みました。 ワークスペース C は Microsoft Sentinel が有効になっているワークスペースであり、3 TB のデータを取り込みました。

最初のシナリオではクラスター課金モードを使用し、2 番目のシナリオではワークスペース課金モードを使用します。

クラスター課金モードでは、合計 3 TB の Log Analytics 使用量がクラスター リソースに対して課金されます。 コミットメント レベルの詳細では、価格が、3 TB に、Log Analytics のコミットメント レベルの有効な (1 日で) 1 GB あたりの価格を乗算した値に等しいことが示されています。 また、コミットメント レベルの 1 日あたりの価格が 0.6 単位であることも表されています。 ワークスペース C は Microsoft Sentinel が有効になっているワークスペースであり、3 TB のデータを取り込みました。 コミットメント レベルの詳細は、価格が 3 TB に、コミットメント レベルの 1 GB (1 日あたり) あたりの有効な Microsoft Sentinel 価格を掛けた値を示しています。 また、コミットメント レベルの 1 日あたりの価格が 0.6 単位であることも表されています。

ワークスペース課金モードでは、取り込まれたデータの各部分が個々のワークスペースに課金されます。 合計は、クラスター課金の場合と同じです 。1 日あたりのコミットメント レベルの 1.2 ユニットのレートです。

例 2: コミットメント レベルレベルよりも 少ない データを取り込む専用クラスター。 クラスターにワークスペースを追加することを検討してください。

次の表は、3 ワークスペース専用クラスターが 1 日あたり 5,000 GB のコミットメント レベルよりも少ないデータを取り込んでいる 2 つのシナリオを示しています。 どちらのシナリオでも、A と B というラベルの付いた最初の 2 つのワークスペースは、Microsoft Sentinel が有効になっていません。 ワークスペース A と B は 1 TB のデータを個別に取り込み、Microsoft Sentinel 対応ワークスペース C では 2 TB のデータ (合計 4 TB) が取り込まれた。

コミットメント レベルは 5 TB であるため、1 TB の未使用のインジェストがあります。

Important

未使用のコミットメントは、クラスター内のワークスペースで Microsoft Sentinel が有効になっているかどうかに関係なく、Log Analytics コミットメント レベルに課金されます。

1 番目のシナリオではクラスター課金モードが使われ、2 番目のシナリオではワークスペース課金モードが使われています。

クラスター課金モードでは、合計 2 TB の Log Analytics 使用量に加えて、未使用の 1 TB の使用量が余分に、クラスター リソースに対して課金されます。 コミットメント レベルの詳細では、価格が、3 TB に、Log Analytics のコミットメント レベルの有効な (1 日で) 1 GB あたりの価格を乗算した値に等しいことが示されています。 また、コミットメント レベルの 1 日あたりの価格が 0.6 単位であることも表されています。 ワークスペース C は Microsoft Sentinel が有効になっているワークスペースであり、2 TB のデータを取り込みました。 コミットメント レベルの詳細は、価格が 2 TB に、コミットメント レベルの 1 GB (1 日あたり) あたりの有効な Microsoft Sentinel 価格を乗算した値を示しています。 また、コミットメント レベルの 1 日あたりの価格が 0.4 単位であることも表されています。

ワークスペース課金モードでは、取り込まれたデータの各部分が個々のワークスペースに課金され、未使用の 1 TB の部分が クラスター リソースに課金されます。 合計はクラスター課金の場合と同じで、コミットメントティアの日単価は1.0単位です。

Microsoft Sentinel が有効なワークスペースの GB あたりの簡略化された有効な価格には、ログ分析インジェスト コストが含まれるようになりました。 価格の詳細については、次の記事を参照してください。

• Microsoft Azure Sentinel の価格
• Azure Monitor の価格

Offboarding behavior

簡略化された価格が有効になっている間に Microsoft Sentinel がワークスペースから削除された場合、Log Analytics ワークスペースでは、簡略化された価格レベルに合わせて価格レベルが自動的に構成されます。 たとえば、Microsoft Sentinel で 100 GB/日のコミットメント レベルに対して簡略化された価格が構成されていた場合、ワークスペースから Microsoft Sentinel が削除されると、Log Analytics ワークスペースの価格レベルは 100 GB/日のコミットメント レベルに変更されます。

切り替えるとコストを削減できますか?

このエクスペリエンスの目的は、実際のコストに影響を与えることなく価格とコスト管理のエクスペリエンスを簡単にすることですが、簡略化された価格レベルに切り替えるときにコストが削減される 3 つの主要なシナリオが存在します。

• 購入前プランを使用して Microsoft Sentinel のコストを削減します。 事前購入プランのコミット ユニットは、従来の価格レベルの Log Analytics コストには適用されません。 簡略化された価格レベル全体が Microsoft Sentinel コストとして分類されるため、簡素化された価格レベルでの効果的な支出は、コミットメント レベルに近づく事前購入プランによって削減されます。
• Defender for Servers のベネフィットを組み合わせた場合、ワークスペースで使用すると、総コストが削減されます。
• Log Analytics または Microsoft Sentinel の個別の価格レベルのいずれかが不適切で、一致しない場合、簡略化された価格レベルによってコストが削減される可能性があります。

切り替えない理由はありますか?

Microsoft アカウント チームが、従来のレベルで Log Analytics または Microsoft Sentinel 料金の割引価格を交渉した可能性があります。 これが該当するかどうかは、Microsoft Sentinel の価格設定インターフェイスだけでは確認できません。 Microsoft Cost Management で予想されるコストと実際の料金を計算して、割引が含まれているかどうかを確認できる場合があります。 このような場合、簡略化された価格レベルに切り替える場合や質問がある場合は、Microsoft アカウント チームにお問い合わせください。

Learn more

• Log Analyticsのデータ量を減らすためのその他のヒントについては、Azure Monitorのコスト管理のベストプラクティスに関するページを参照してください。
• Microsoft Cost Management を使用してクラウドへの投資を最適化する方法について説明します。
• コスト分析を使用してコストを管理する方法について詳細に説明します。
• 予期しないコストを回避する方法について説明します。
• Cost Management のガイド付き学習コースを受講します。

Related content

• コストを計画し、Microsoft Sentinel の価格と課金を理解する
• Microsoft Sentinel のコストを監視する
• Microsoft Sentinel のコストを削減する