Kosten plannen en inzicht in prijzen en facturering van Microsoft Sentinel

Wanneer u uw Microsoft Sentinel-implementatie plant, wilt u doorgaans de prijs- en factureringsmodellen begrijpen om uw kosten te optimaliseren. De beveiligingsanalysegegevens van Microsoft Sentinel worden opgeslagen in een Azure Monitor Log Analytics-werkruimte. Facturering is gebaseerd op het volume aan gegevens dat wordt geanalyseerd in Microsoft Sentinel en is opgeslagen in de Log Analytics-werkruimte. De kosten van beide worden gecombineerd in een vereenvoudigde prijscategorie. Meer informatie over de vereenvoudigde prijscategorieën of meer informatie over prijzen van Microsoft Sentinel in het algemeen.

Voordat u resources voor Microsoft Sentinel toevoegt, gebruikt u de Azure-prijscalculator om uw kosten te schatten.

De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten in uw Azure-factuur. Hoewel in dit artikel wordt uitgelegd hoe u kosten kunt plannen en inzicht krijgt in de facturering voor Microsoft Sentinel, wordt u gefactureerd voor alle Azure-services en -resources die door uw Azure-abonnement worden gebruikt, inclusief partnerservices.

Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Gratis proefversie

Schakel Microsoft Sentinel in op een Azure Monitor Log Analytics-werkruimte en de eerste 10 GB/dag is 31 dagen gratis. De kosten voor zowel Log Analytics-gegevensopname als microsoft Sentinel-analysekosten tot de limiet van 10 GB/dag worden tijdens de proefperiode van 31 dagen opgeheven. Voor deze gratis proefversie geldt een limiet van 20 werkruimten per Azure-tenant.

Gebruik buiten deze limieten wordt in rekening gebracht op basis van de prijzen die worden vermeld op de microsoft Sentinel-pagina met prijzen . Kosten met betrekking tot extra mogelijkheden voor automatisering en Bring Your Own Machine Learning zijn nog steeds van toepassing tijdens de gratis proefversie.

Tijdens uw gratis proefversie vindt u bronnen voor kostenbeheer, training en meer op het tabblad Gratis &> proefversie in Microsoft Sentinel. Op dit tabblad worden ook details weergegeven over de datums van uw gratis proefversie en hoeveel dagen u nog hebt totdat deze verloopt.

Gegevensbronnen en plankosten dienovereenkomstig identificeren

Identificeer de gegevensbronnen die u opneemt of wilt opnemen in uw werkruimte in Microsoft Sentinel. Met Microsoft Sentinel kunt u gegevens ophalen uit een of meer gegevensbronnen. Sommige van deze gegevensbronnen zijn gratis en andere kosten in rekening gebracht. Zie Gratis gegevensbronnen voor meer informatie.

Kosten en facturering schatten voordat u Microsoft Sentinel gebruikt

Gebruik de prijscalculator van Microsoft Sentinel om nieuwe of veranderende kosten te schatten. Voer Microsoft Sentinel in het zoekvak in en selecteer de resulterende Microsoft Sentinel-tegel. De prijscalculator helpt u bij het schatten van de waarschijnlijke kosten op basis van uw verwachte gegevensopname en -retentie.

Voer bijvoorbeeld het GB aan dagelijkse gegevens in dat u verwacht op te nemen in Microsoft Sentinel en de regio voor uw werkruimte. De calculator biedt de geaggregeerde maandelijkse kosten voor deze onderdelen:

  • Microsoft Sentinel: Analytics-logboeken en basislogboeken
  • Azure Monitor: Retentie
  • Azure Monitor: Gegevens herstellen
  • Azure Monitor: Zoekquery's en zoektaken

Inzicht in het volledige factureringsmodel voor Microsoft Sentinel

Microsoft Sentinel biedt een flexibel en voorspelbaar prijsmodel. Zie de pagina met prijzen van Microsoft Sentinel voor meer informatie. Werkruimten die ouder zijn dan juli 2023, zijn mogelijk gescheiden van Microsoft Sentinel in een klassieke prijscategorie. Zie de prijzen van Azure Monitor Log Analytics voor de gerelateerde Log Analytics-kosten.

Microsoft Sentinel wordt uitgevoerd op een Azure-infrastructuur die kosten maakt wanneer u nieuwe resources implementeert. Het is belangrijk om te begrijpen dat er andere, extra infrastructuurkosten kunnen zijn die kunnen oplopen.

Hoe er kosten in rekening worden gebracht voor Microsoft Sentinel

Prijzen zijn gebaseerd op de typen logboeken die zijn opgenomen in een werkruimte. Analyselogboeken vormen meestal de meeste beveiligingslogboeken van hoge waarde. Basislogboeken zijn meestal uitgebreid met een lage beveiligingswaarde. Het is belangrijk om te weten dat facturering per werkruimte dagelijks wordt uitgevoerd voor alle logboektypen en -lagen.

Analyselogboeken

Er zijn twee manieren om te betalen voor de analyselogboeken: betalen per gebruik en toezeggingslagen.

  • Betalen per gebruik is het standaardmodel op basis van het werkelijke gegevensvolume dat is opgeslagen en optioneel voor gegevensretentie na 90 dagen. Het gegevensvolume wordt gemeten in GB (109 bytes).

  • Log Analytics en Microsoft Sentinel hebben prijscategorieën voor de toezeggingslaag , voorheen Capaciteitsreserveringen genoemd. Deze prijscategorieën worden gecombineerd tot vereenvoudigde prijscategorieën die voorspelbaarder zijn en aanzienlijke besparingen bieden in vergelijking met prijzen voor betalen per gebruik .

    De prijzen voor de toezeggingslaag beginnen bij 100 GB/dag. Elk gebruik boven het toezeggingsniveau wordt gefactureerd op het tarief voor de toezeggingslaag dat u hebt geselecteerd. Een toezeggingslaag van 100 GB factureert u bijvoorbeeld voor het vastgelegde gegevensvolume van 100 GB, plus eventuele extra GB per dag tegen het gereduceerde tarief voor die laag.

    Verhoog uw toezeggingslaag op elk gewenst moment om de kosten te optimaliseren naarmate uw gegevensvolume toeneemt. Het verlagen van de toezeggingslaag is slechts elke 31 dagen toegestaan. Als u de huidige Prijscategorie van Microsoft Sentinel wilt zien, selecteert u Instellingen in Microsoft Sentinel en selecteert u vervolgens het tabblad Prijzen. Uw huidige prijscategorie is gemarkeerd als huidige categorie.

    Als u de toezeggingslaag wilt instellen en wijzigen, raadpleegt u Prijscategorie instellen of wijzigen. Werkruimten die ouder zijn dan juli 2023 hebben de mogelijkheid om over te schakelen naar de vereenvoudigde prijscategorieën om factureringsmeters te samenvoegen of de klassieke prijscategorieën te blijven gebruiken die de Log Analytics-prijzen scheiden van de klassieke prijzen van Microsoft Sentinel. Zie vereenvoudigde prijscategorieën voor meer informatie.

Basislogboeken

Basislogboeken hebben een gereduceerde prijs en worden in rekening gebracht tegen een vast tarief per GB. Ze hebben de volgende beperkingen:

  • Mogelijkheden voor minder query's
  • Bewaarperiode van acht dagen
  • Geen ondersteuning voor geplande waarschuwingen

Basislogboeken zijn het meest geschikt voor gebruik in playbookautomatisering, ad-hocquery's, onderzoeken en zoeken. Zie Basislogboeken configureren in Azure Monitor voor meer informatie.

Vereenvoudigde prijscategorieën

Vereenvoudigde prijscategorieën combineren de kosten voor gegevensanalyse voor Microsoft Sentinel en opslagkosten voor opname van Log Analytics in één prijscategorie. Hier volgt een schermopname van de vereenvoudigde prijscategorie die alle nieuwe werkruimten gaan gebruiken.

Screenshot shows simplified pricing tier.

Werkruimten die zijn geconfigureerd met klassieke prijscategorieën, hebben de mogelijkheid om over te schakelen naar de vereenvoudigde prijscategorieën. Zie Inschrijven in een vereenvoudigde prijscategorie voor meer informatie over het overschakelen naar nieuwe prijzen.

Het combineren van de prijscategorieën biedt een vereenvoudiging van de algehele facturerings- en kostenbeheerervaring, inclusief visualisatie op de pagina met prijzen en minder stappen voor het schatten van de kosten in de Azure-calculator. Om meer waarde toe te voegen aan de nieuwe vereenvoudigde lagen, is het huidige voordeel van Microsoft Defender voor Servers P2 dat 500 MB/VM/dag beveiligingsgegevensopname in Log Analytics verleent, uitgebreid naar de vereenvoudigde prijscategorieën. Dit verhoogt het financiële voordeel van het op deze manier in aanmerking komende gegevens opnemen in Microsoft Sentinel.

Inzicht in uw Microsoft Sentinel-factuur

Factureerbare meters zijn de afzonderlijke onderdelen van uw service die op uw factuur worden weergegeven en worden weergegeven in Microsoft Cost Management. Aan het einde van de factureringscyclus worden de kosten voor elke meter bij elkaar opgeteld. Uw factuur of factuur toont een sectie voor alle Microsoft Sentinel-kosten. Er is een afzonderlijk regelitem voor elke meter.

Als u uw Azure-factuur wilt zien, selecteert u Kostenanalyse in de linkernavigatiebalk van Cost Management. Selecteer in het scherm Kostenanalyse de vervolgkeuzelijst in het veld Weergave en selecteer Factuurgegevens.

De kosten die in de volgende afbeelding worden weergegeven, zijn alleen bedoeld voor voorbeelddoeleinden. Ze zijn niet bedoeld om de werkelijke kosten weer te geven. Vanaf 1 juli 2023 worden verouderde prijscategorieën voorafgegaan door Classic.

Screenshot showing the Microsoft Sentinel section of a sample Azure bill, to help you estimate costs.

De kosten voor Microsoft Sentinel en Log Analytics kunnen op uw Azure-factuur worden weergegeven als afzonderlijke regelitems op basis van uw geselecteerde prijsplan. Vereenvoudigde prijscategorieën worden weergegeven als één sentinel regelitem voor de prijscategorie. Omdat de opname en analyse dagelijks worden gefactureerd, wordt er één regelitem weergegeven voor de toezeggingslaag met de bijbehorende vaste kosten en een afzonderlijk regelitem voor de kosten buiten de toezeggingslaag, gefactureerd tegen hetzelfde effectieve tarief voor de toezeggingslaag.

In de volgende tabbladen ziet u hoe de kosten van Microsoft Sentinel worden weergegeven in de kolommen Servicenaam en Meter van uw Azure-factuur, afhankelijk van uw vereenvoudigde prijscategorie.

Als u wordt gefactureerd met het tarief voor de vereenvoudigde toezeggingslaag, ziet u in deze tabel hoe de kosten van Microsoft Sentinel worden weergegeven in de kolommen Servicenaam en Meter van uw Azure-factuur.

Kostenbeschrijving Servicenaam Meter
Microsoft Sentinel-toezeggingslaag Sentinel n GB-toezeggingslaag
Overschrijding van Microsoft Sentinel-toezeggingslaag Sentinel Analyse

Meer informatie over het weergeven en downloaden van uw Azure-factuur.

Kosten en prijzen voor andere services

Microsoft Sentinel kan worden geïntegreerd met veel andere Azure-services, waaronder Azure Logic Apps, Azure Notebooks en BYOML-modellen (Bring Your Own Machine Learning). Sommige van deze services hebben mogelijk extra kosten. Sommige gegevensconnectors en -oplossingen van Microsoft Sentinel maken gebruik van Azure Functions voor gegevensopname, die ook een afzonderlijke gekoppelde kosten heeft.

Meer informatie over prijzen voor deze services:

Andere services die u gebruikt, kunnen kosten met zich meebrengen.

Kosten voor gegevensretentie en gearchiveerde logboeken

Nadat u Microsoft Sentinel hebt ingeschakeld voor een Log Analytics-werkruimte, kunt u de volgende configuratieopties overwegen:

  • Bewaar alle gegevens die in de werkruimte zijn opgenomen zonder kosten gedurende de eerste 90 dagen. Retentie na 90 dagen wordt in rekening gebracht volgens de standaard Log Analytics-bewaarprijzen.
  • Geef verschillende bewaarinstellingen op voor afzonderlijke gegevenstypen. Meer informatie over retentie per gegevenstype.
  • Schakel langetermijnretentie in voor uw gegevens en heb toegang tot historische logboeken door gearchiveerde logboeken in te schakelen. Gegevensarchief is een voordelige bewaarlaag voor archivering. Er worden kosten in rekening gebracht op basis van het volume aan gegevens dat is opgeslagen en gescand. Meer informatie over het configureren van gegevensretentie en archiefbeleid in Azure Monitor-logboeken. Gearchiveerde logboeken bevinden zich in openbare preview.

De retentie van 90 dagen is niet van toepassing op basislogboeken. Als u gegevensretentie wilt uitbreiden voor basislogboeken die langer zijn dan acht dagen, slaat u die gegevens gedurende maximaal zeven jaar op in gearchiveerde logboeken.

Overige CEF-opnamekosten

CEF is een ondersteunde Syslog-gebeurtenisindeling in Microsoft Sentinel. Gebruik CEF om waardevolle beveiligingsgegevens van verschillende bronnen naar uw Microsoft Sentinel-werkruimte te halen. CEF-logboeken komen terecht in de CommonSecurityLog-tabel in Microsoft Sentinel, die alle standaard up-to-date CEF-velden bevat.

Veel apparaten en gegevensbronnen ondersteunen logboekregistratievelden buiten het standaard CEF-schema. Deze extra velden komen terecht in de tabel AdditionalExtensions. Deze velden kunnen hogere opnamevolumes hebben dan de standaard CEF-velden, omdat de inhoud van de gebeurtenis in deze velden variabel kan zijn.

Kosten die kunnen oplopen na het verwijderen van de resource

Als u Microsoft Sentinel verwijdert, wordt de Log Analytics-werkruimte waarop Microsoft Sentinel is geïmplementeerd, niet verwijderd of worden er afzonderlijke kosten in rekening gebracht voor de werkruimte.

Gratis gegevensbronnen

De volgende gegevensbronnen zijn gratis met Microsoft Sentinel:

  • Azure-activiteitenlogboeken.
  • Office 365-auditlogboeken, inclusief alle SharePoint-activiteiten, Exchange-beheerdersactiviteit en Teams.
  • Beveiligingswaarschuwingen, waaronder waarschuwingen van Microsoft Defender XDR, Microsoft Defender voor Cloud, Microsoft Defender voor Office 365, Microsoft Defender for Identity, Microsoft Defender voor Cloud Apps en Microsoft Defender voor Eindpunt.
  • waarschuwingen voor Microsoft Defender voor Cloud en Microsoft Defender voor Cloud Apps.

Hoewel waarschuwingen gratis zijn, worden de onbewerkte logboeken voor sommige Microsoft Defender XDR- Defender voor Cloud-apps, Microsoft Entra-id en AIP-gegevenstypen (Azure Information Protection) betaald.

De volgende tabel bevat de gegevensbronnen in Microsoft Sentinel die niet in rekening worden gebracht. Dit is dezelfde lijst als Log Analytics. Zie uitgesloten tabellen voor meer informatie.

Microsoft Sentinel-gegevensconnector Gratis gegevenstype
Activiteitenlogboeken van Azure AzureActivity
Microsoft Entra ID Protection SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender voor Cloud SecurityAlert (Defender voor Cloud)
Microsoft Defender voor IoT SecurityAlert (Defender for IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender voor Eindpunt SecurityAlert (MDATP)
Microsoft Defender for Identity SecurityAlert (AATP)
Microsoft Defender voor Cloud-apps SecurityAlert (Defender voor Cloud Apps)

Voor gegevensconnectors die zowel gratis als betaalde gegevenstypen bevatten, selecteert u welke gegevenstypen u wilt inschakelen.

Screenshot of the Data connector page for Defender for Cloud Apps, with the free security alerts selected and the paid MCAS Shadow IT Reporting data connection not enabled.

Meer informatie over het verbinden van gegevensbronnen, waaronder gratis en betaalde gegevensbronnen.

Meer informatie

Volgende stappen

In dit artikel hebt u geleerd hoe u kosten plant en inzicht krijgt in de facturering voor Microsoft Sentinel.