Udostępnij za pośrednictwem


Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel

Podczas planowania wdrożenia usługi Microsoft Sentinel zazwyczaj chcesz zrozumieć jego ceny i modele rozliczeń, aby zoptymalizować koszty. Dane analizy zabezpieczeń usługi Microsoft Sentinel są przechowywane w obszarze roboczym usługi Azure Monitor Log Analytics. Rozliczenia są oparte na ilości danych analizowanych w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics. Koszt obu tych elementów jest połączony w uproszczonej warstwie cenowej. Dowiedz się więcej o uproszczonych warstwach cenowych lub dowiedz się więcej na temat ogólnych cen usługi Microsoft Sentinel.

Przed dodaniem jakichkolwiek zasobów dla usługi Microsoft Sentinel skorzystaj z kalkulatora cen platformy Azure, aby ułatwić oszacowanie kosztów.

Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak planować koszty i rozumieć rozliczenia dla usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.

Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Bezpłatna wersja próbna

Włącz usługę Microsoft Sentinel w obszarze roboczym usługi Azure Monitor Log Analytics, a pierwsze 10 GB/dzień jest bezpłatne przez 31 dni. Koszt pozyskiwania danych usługi Log Analytics i opłat za analizę usługi Microsoft Sentinel do limitu 10 GB/dnia zostanie zwolniony w okresie 31-dniowej wersji próbnej. Ta bezpłatna wersja próbna podlega limitowi 20 obszarów roboczych na dzierżawę platformy Azure.

Użycie wykraczające poza te limity jest naliczane zgodnie z cennikiem wymienionym na stronie cennika usługi Microsoft Sentinel. Opłaty związane z dodatkowymi możliwościami automatyzacji i uczenia maszynowego są nadal stosowane podczas bezpłatnej wersji próbnej.

Podczas bezpłatnej wersji próbnej znajdź zasoby dotyczące zarządzania kosztami, szkolenia i nie tylko na karcie Aktualności i przewodniki > Bezpłatna wersja próbna w usłudze Microsoft Sentinel. Na tej karcie są również wyświetlane szczegółowe informacje o datach bezpłatnej wersji próbnej oraz o tym, ile dni pozostało do wygaśnięcia wersji próbnej.

Zidentyfikuj źródła danych i odpowiednio zaplanuj koszty

Zidentyfikuj źródła danych, które są pozyskiwane lub planujesz pozyskiwanie do obszaru roboczego w usłudze Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia wprowadzanie danych z co najmniej jednego źródła danych. Niektóre z tych źródeł danych są bezpłatne, a inne generują opłaty. Aby uzyskać więcej informacji, zobacz Bezpłatne źródła danych.

Szacowanie kosztów i rozliczeń przed rozpoczęciem korzystania z usługi Microsoft Sentinel

Skorzystaj z kalkulatora cen usługi Microsoft Sentinel, aby oszacować nowe lub zmieniające się koszty. Wprowadź ciąg Microsoft Sentinel w polu Wyszukaj i wybierz wynikowy kafelek usługi Microsoft Sentinel. Kalkulator cen pomaga oszacować prawdopodobne koszty na podstawie oczekiwanego pozyskiwania i przechowywania danych.

Na przykład wprowadź GB danych dziennych, które mają zostać pozyskane w usłudze Microsoft Sentinel, oraz region dla obszaru roboczego. Kalkulator zapewnia zagregowany miesięczny koszt dla tych składników:

  • Microsoft Sentinel: dzienniki analityczne i pomocnicze/podstawowe dzienniki
  • Azure Monitor: przechowywanie
  • Azure Monitor: przywracanie danych
  • Azure Monitor: wyszukiwanie zapytań i zadań wyszukiwania

Omówienie pełnego modelu rozliczeń dla usługi Microsoft Sentinel

Usługa Microsoft Sentinel oferuje elastyczny i przewidywalny model cen. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Microsoft Sentinel. Obszary robocze starsze niż lipiec 2023 r. mogą mieć opłaty za obszar roboczy usługi Log Analytics niezależnie od usługi Microsoft Sentinel w klasycznej warstwie cenowej. Aby uzyskać powiązane opłaty za usługę Log Analytics, zobacz Cennik usługi Log Analytics usługi Azure Monitor.

Usługa Microsoft Sentinel działa w infrastrukturze platformy Azure, która nalicza koszty podczas wdrażania nowych zasobów. Ważne jest, aby zrozumieć, że mogą istnieć inne, dodatkowe koszty infrastruktury, które mogą być naliczane.

Jak są naliczane opłaty za usługę Microsoft Sentinel

Cennik jest oparty na typach dzienników pozyskanych do obszaru roboczego. Dzienniki analizy zwykle stanowią większość dzienników zabezpieczeń o wysokiej wartości. Podstawowe dzienniki zwykle są pełne z małą wartością zabezpieczeń. Należy pamiętać, że rozliczenia są wykonywane codziennie dla każdego obszaru roboczego dla wszystkich typów dzienników i warstw.

Dzienniki analizy

Istnieją dwa sposoby płacenia za dzienniki analiz: warstwy płatności zgodnie z rzeczywistym użyciem i zobowiązania.

  • Model płatności zgodnie z rzeczywistym użyciem jest modelem domyślnym na podstawie rzeczywistego woluminu danych przechowywanego i opcjonalnie przechowywania danych poza 90 dni. Ilość danych jest mierzona w GB (109 bajtów).

  • Usługi Log Analytics i Microsoft Sentinel mają cennik warstwy zobowiązania, dawniej nazywane rezerwacjami pojemności. Te warstwy cenowe są łączone w uproszczone warstwy cenowe, które są bardziej przewidywalne i oferują znaczne oszczędności w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem .

    Ceny warstwy zobowiązania zaczynają się od 100 GB dziennie. Każde użycie powyżej poziomu zobowiązania jest rozliczane według wybranej stawki warstwy Zobowiązania. Na przykład warstwa Zobowiązanie wynosząca 100 GB dziennie nalicza opłaty za zatwierdzony wolumin danych 100 GB oraz dodatkowe GB/dzień z obniżoną stawką obowiązującą dla tej warstwy. Cena obowiązująca za GB jest po prostu ceną usługi Microsoft Sentinel podzieloną przez cenę warstwy GB na dzień. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.

    Zwiększ warstwę Zobowiązanie w dowolnym momencie, aby zoptymalizować koszty w miarę wzrostu ilości danych. Obniżenie warstwy Zobowiązanie jest dozwolone tylko co 31 dni. Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w usłudze Microsoft Sentinel, a następnie wybierz kartę Cennik . Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.

    Aby ustawić i zmienić warstwę Zobowiązania, zobacz Ustawianie lub zmienianie warstwy cenowej. Przełącz wszystkie obszary robocze starsze niż lipiec 2023 r. do uproszczonego środowiska warstw cenowych w celu ujednolicenia mierników rozliczeń. Możesz też nadal używać klasycznych warstw cenowych, które oddzielają cennik usługi Log Analytics od klasycznego cennika usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz uproszczone warstwy cenowe.

Dzienniki pomocnicze i dzienniki podstawowe

Dzienniki podstawowe to opcja o niskich kosztach, a pomocnicza opcja umożliwia bardzo niskie koszty pozyskiwania źródeł danych o dużej wartości. Są one naliczane za płaską, niską stawkę za GB. Mają one między innymi następujące ograniczenia:

  • Ograniczone możliwości wykonywania zapytań
  • 30-dniowe interaktywne przechowywanie
  • Brak obsługi zaplanowanych alertów

Te dwa typy dzienników najlepiej nadają się do użycia w automatyzacji podręcznika, zapytaniu ad hoc, badaniach i wyszukiwaniu. Aby uzyskać więcej informacji, zobacz:

Aby dowiedzieć się więcej o różnicy między przechowywaniem interaktywnym a przechowywaniem długoterminowym (dawniej nazywanym archiwum), zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.

Ważne

Typ dziennika dzienników pomocniczych jest obecnie w wersji ZAPOZNAWCZEJ. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Uproszczone warstwy cenowe

Uproszczone warstwy cenowe łączą koszty analizy danych dla usługi Microsoft Sentinel i magazynowania pozyskiwania usługi Log Analytics w jedną warstwę cenową. Poniższy zrzut ekranu przedstawia uproszczoną warstwę cenową używaną przez wszystkie nowe obszary robocze.

Zrzut ekranu przedstawia uproszczoną warstwę cenową.

Przełącz dowolny obszar roboczy skonfigurowany przy użyciu klasycznych warstw cenowych na uproszczone warstwy cenowe. Aby uzyskać więcej informacji na temat przełączania na nowe ceny, zobacz Rejestrowanie w uproszczonej warstwie cenowej.

Połączenie warstw cenowych zapewnia uproszczenie ogólnego środowiska rozliczeń i zarządzania kosztami, w tym wizualizację na stronie cennika i mniej kroków szacowania kosztów w kalkulatorze platformy Azure. Aby dodać dodatkową wartość do nowych uproszczonych warstw, bieżąca korzyść usługi Microsoft Defender dla serwerów P2 przyznająca 500 MB pozyskiwania danych zabezpieczeń do usługi Log Analytics została rozszerzona na uproszczone warstwy cenowe. Ta zmiana znacznie zwiększa korzyści finansowe wynikające z wprowadzenia kwalifikujących się danych pozyskanych do usługi Microsoft Sentinel dla każdej maszyny wirtualnej chronionej w ten sposób. Aby uzyskać więcej informacji, zobacz Często zadawane pytania — korzyść usługi Microsoft Defender dla serwerów P2, która udziela 500 MB.

Informacje o rachunku za korzystanie z usługi Microsoft Sentinel

Rozliczane mierniki są poszczególnymi składnikami usługi wyświetlanymi na rachunku i są wyświetlane w usłudze Microsoft Cost Management. Na koniec cyklu rozliczeniowego opłaty za każdy miernik są sumowane. Rachunek lub faktura zawiera sekcję dla wszystkich kosztów usługi Microsoft Sentinel. Dla każdego miernika istnieje oddzielny wiersz.

Aby wyświetlić rachunek za korzystanie z platformy Azure, wybierz pozycję Analiza kosztów w lewym obszarze nawigacji usługi Cost Management. Na ekranie Analiza kosztów znajdź i wybierz szczegóły faktury w obszarze Wszystkie widoki.

Koszty pokazane na poniższej ilustracji są przeznaczone tylko do celów przykładowych. Nie są one przeznaczone do odzwierciedlenia rzeczywistych kosztów. Od 1 lipca 2023 r. starsze warstwy cenowe mają prefiks Klasyczny.

Zrzut ekranu przedstawiający sekcję usługi Microsoft Sentinel przykładowego rachunku za korzystanie z platformy Azure, aby ułatwić oszacowanie kosztów.

Opłaty za usługę Microsoft Sentinel i Log Analytics mogą być wyświetlane na rachunku za platformę Azure jako oddzielne elementy wiersza na podstawie wybranego planu cenowego. Uproszczone warstwy cenowe są reprezentowane jako pojedynczy sentinel element wiersza dla warstwy cenowej. Pozyskiwanie i analiza są rozliczane codziennie. Jeśli obszar roboczy przekracza alokację użycia warstwy Zobowiązanie w danym dniu, rachunek za korzystanie z platformy Azure pokazuje jeden wiersz dla warstwy Zobowiązanie ze skojarzonym kosztem stałym, a oddzielny element wiersza kosztu poza warstwą Zobowiązanie rozliczany według tej samej obowiązującej stawki warstwy Zobowiązania.

Na poniższych kartach przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure w zależności od uproszczonej warstwy cenowej.

Jeśli opłaty są naliczane według uproszczonej stawki warstwy Zobowiązanie, w tej tabeli przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure.

Opis kosztów Service name Miernik
Warstwa zobowiązania usługi Microsoft Sentinel Sentinel n Warstwa zobowiązania GB
Nadwyżka warstwy zobowiązania usługi Microsoft Sentinel Sentinel Analiza

Dowiedz się, jak wyświetlać i pobierać rachunek za korzystanie z platformy Azure.

Koszty i ceny innych usług

Usługa Microsoft Sentinel integruje się z wieloma innymi usługami platformy Azure, takimi jak Azure Logic Apps, Azure Notebooks i przynieś własne modele uczenia maszynowego (BYOML). Niektóre z tych usług mogą mieć dodatkowe opłaty. Niektóre łączniki danych i rozwiązania usługi Microsoft Sentinel używają usługi Azure Functions do pozyskiwania danych, co również ma oddzielny skojarzony koszt.

Dowiedz się więcej o cenach tych usług:

Wszelkie inne używane usługi mogą wiązać się z kosztami.

Interaktywne i długoterminowe koszty przechowywania danych

Po włączeniu usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics rozważ następujące opcje konfiguracji:

  • Zachowaj wszystkie dane pozyskane do obszaru roboczego bez opłat przez pierwsze 90 dni. Opłata za przechowywanie po upływie 90 dni jest naliczana zgodnie ze standardowymi cenami przechowywania usługi Log Analytics.
  • Określ różne ustawienia przechowywania dla poszczególnych typów danych. Dowiedz się więcej o przechowywaniu według typu danych.
  • Włącz długoterminowe przechowywanie danych, aby mieć dostęp do dzienników historycznych. Długoterminowe przechowywanie to stan przechowywania niskiego kosztu na potrzeby przechowywania danych, takich jak zgodność z przepisami. Opłaty są naliczane na podstawie ilości przechowywanych i skanowanych danych. Dowiedz się, jak skonfigurować interaktywne i długoterminowe zasady przechowywania danych w dziennikach usługi Azure Monitor.
  • Zarejestruj tabele zawierające pomocnicze dane zabezpieczeń w planie dzienników pomocniczych. Ten plan umożliwia przechowywanie dzienników o dużej ilości i niskich wartościach przy niskiej cenie z niższym kosztem 30-dniowego okresu przechowywania interakcyjnego na początku, aby umożliwić podsumowywanie i wykonywanie zapytań podstawowych. Aby dowiedzieć się więcej na temat planu dzienników pomocniczych i innych planów, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.

Inne koszty pozyskiwania cef

CEF to obsługiwany format zdarzeń dziennika systemowego w usłudze Microsoft Sentinel. Użyj formatu CEF, aby dostarczyć cenne informacje o zabezpieczeniach z różnych źródeł do obszaru roboczego usługi Microsoft Sentinel. Dzienniki CEF znajdują się w tabeli CommonSecurityLog w usłudze Microsoft Sentinel, która zawiera wszystkie standardowe aktualne pola CEF.

Wiele urządzeń i źródeł danych obsługuje pola rejestrowania poza standardowym schematem CEF. Te dodatkowe pola znajdują się w tabeli AdditionalExtensions. Te pola mogą mieć większe woluminy pozyskiwania niż standardowe pola CEF, ponieważ zawartość zdarzenia w tych polach może być zmienna.

Koszty, które mogą być naliczane po usunięciu zasobów

Usunięcie usługi Microsoft Sentinel nie powoduje usunięcia obszaru roboczego usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel, ani żadnych oddzielnych opłat, które mogą być naliczane w obszarze roboczym.

Bezpłatne źródła danych

Następujące źródła danych są bezpłatne w usłudze Microsoft Sentinel:

  • Dzienniki aktywności platformy Azure
  • Kondycja usługi Microsoft Sentinel
  • Dzienniki inspekcji usługi Office 365, w tym wszystkie działania programu SharePoint, działania administratora programu Exchange i usługi Teams
  • Alerty zabezpieczeń, w tym alerty z następujących źródeł:
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud
    • Microsoft Defender dla usługi Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Usługa Microsoft Defender dla punktu końcowego
  • Alerty z następujących źródeł:
    • Microsoft Defender for Cloud
    • Microsoft Defender for Cloud Apps

Mimo że alerty są bezpłatne, pierwotne dzienniki niektórych typów danych usługi Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID i Azure Information Protection (AIP) są płatne.

W poniższej tabeli wymieniono źródła danych w usługach Microsoft Sentinel i Log Analytics, które nie są naliczane. Aby uzyskać więcej informacji, zobacz wykluczone tabele.

Łącznik danych usługi Microsoft Sentinel Typ wolnych danych
Dzienniki aktywności platformy Azure AzureActivity
Monitorowanie kondycji usługi Microsoft Sentinel 1 SentinelHealth
Ochrona tożsamości Microsoft Entra SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender dla Chmury SecurityAlert (Defender dla Chmury)
Usługa Microsoft Defender dla IoT SecurityAlert (Defender for IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Ochrona punktu końcowego w usłudze Microsoft Defender SecurityAlert (MDATP)
Microsoft Defender for Identity SecurityAlert (AATP)
aplikacje Microsoft Defender dla Chmury SecurityAlert (aplikacje Defender dla Chmury)

1 Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji dla usługi Microsoft Sentinel.

W przypadku łączników danych, które obejmują zarówno bezpłatne, jak i płatne typy danych, wybierz typy danych, które chcesz włączyć.

Zrzut ekranu przedstawiający stronę łącznika aplikacji Defender dla Chmury z wybranymi bezpłatnymi alertami zabezpieczeń i płatnymi raportami IT w tle MCAS, które nie są włączone.

Dowiedz się więcej na temat łączenia źródeł danych, w tym bezpłatnych i płatnych źródeł danych.

Dowiedz się więcej

Następne kroki

W tym artykule przedstawiono sposób planowania kosztów i zrozumienia rozliczeń dla usługi Microsoft Sentinel.