Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas planowania wdrożenia usługi Microsoft Sentinel zazwyczaj chcesz zrozumieć jego ceny i modele rozliczeń, aby zoptymalizować koszty. Dane analizy zabezpieczeń usługi Microsoft Sentinel są przechowywane w obszarze roboczym usługi Azure Monitor Log Analytics. Rozliczenia są oparte na ilości danych analizowanych w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics. Koszt obu tych elementów jest połączony w uproszczonej warstwie cenowej. Dowiedz się więcej o uproszczonych warstwach cenowych lub dowiedz się więcej na temat ogólnych cen usługi Microsoft Sentinel .
Szacuj koszty przed dodaniem wszelkich zasobów do obszaru roboczego usługi Microsoft Sentinel, wyszukując usługę Microsoft Sentinel w sekcji Zabezpieczeniakalkulatora cen platformy Azure.
Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak planować koszty i rozumieć rozliczenia dla usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.
Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Bezpłatna wersja próbna
Włącz usługę Microsoft Sentinel w obszarze roboczym usługi Azure Monitor Log Analytics, a pierwsze 10 GB/dzień jest bezpłatne przez 31 dni. Koszt pozyskiwania danych usługi Log Analytics i opłat za analizę usługi Microsoft Sentinel do limitu 10 GB/dnia zostanie zwolniony w okresie 31-dniowej wersji próbnej. Ta bezpłatna wersja próbna podlega ograniczeniu do 20 obszarów roboczych na dzierżawcę usługi Azure.
Użycie wykraczające poza te limity jest naliczane zgodnie z cennikiem wymienionym na stronie cennika usługi Microsoft Sentinel. Opłaty związane z dodatkowymi możliwościami automatyzacji i uczenia maszynowego są nadal stosowane podczas bezpłatnej wersji próbnej.
Podczas bezpłatnej wersji próbnej znajdź zasoby dotyczące zarządzania kosztami, szkolenia i nie tylko na karcie Aktualności i przewodniki > Bezpłatna wersja próbna w usłudze Microsoft Sentinel. Na tej karcie są również wyświetlane szczegółowe informacje o datach bezpłatnej wersji próbnej oraz o tym, ile dni pozostało do wygaśnięcia wersji próbnej.
Zidentyfikuj źródła danych i odpowiednio zaplanuj koszty
Zidentyfikuj źródła danych, które pozyskujesz lub planujesz pozyskiwać do workspace w usłudze Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia wprowadzanie danych z co najmniej jednego źródła danych. Niektóre z tych źródeł danych są bezpłatne, a inne generują opłaty. Aby uzyskać więcej informacji, zobacz Bezpłatne źródła danych.
Szacowanie kosztów i rozliczeń przed rozpoczęciem korzystania z usługi Microsoft Sentinel
Skorzystaj z kalkulatora cen usługi Microsoft Sentinel, aby oszacować nowe lub zmieniające się koszty. Wprowadź Microsoft Sentinel w polu Wyszukaj i wybierz wynikowy kafelek Microsoft Sentinel. Kalkulator cen pomaga oszacować prawdopodobne koszty na podstawie oczekiwanego pozyskiwania i przechowywania danych.
Na przykład wprowadź GB danych dziennych, które mają zostać pozyskane w usłudze Microsoft Sentinel, oraz region dla obszaru roboczego. Kalkulator zapewnia zagregowany miesięczny koszt dla tych składników:
- Microsoft Sentinel: dzienniki analityczne oraz dzienniki pomocnicze i podstawowe
- Azure Monitor: przechowywanie
- Azure Monitor: przywracanie danych
- Azure Monitor: zapytania wyszukiwania i zadania wyszukiwania
Omówienie pełnego modelu rozliczeń dla usługi Microsoft Sentinel
Usługa Microsoft Sentinel oferuje elastyczny i przewidywalny model cen. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Microsoft Sentinel. Obszary robocze starsze niż lipiec 2023 r. mogą mieć opłaty za obszar roboczy usługi Log Analytics niezależnie od usługi Microsoft Sentinel w klasycznej warstwie cenowej. Aby uzyskać powiązane opłaty związane z usługą Log Analytics, zobacz Cennik Log Analytics Azure Monitor.
Usługa Microsoft Sentinel działa w infrastrukturze platformy Azure, która nalicza koszty podczas wdrażania nowych zasobów. Ważne jest, aby zrozumieć, że mogą istnieć inne, dodatkowe koszty infrastruktury, które mogą być naliczane.
Jak są naliczane opłaty za usługę Microsoft Sentinel
Ceny są oparte na typach logów wczytywanych do obszaru roboczego. Dzienniki analiz zwykle stanowią większość dzienników zabezpieczeń o wysokiej wartości i obsługują wszystkie typy danych, które oferują pełną analizę, alerty i brak limitów zapytań. Dzienniki pomocnicze i dzienniki podstawowe są często obszerne, z niską wartością dla bezpieczeństwa. Należy pamiętać, że rozliczenia są wykonywane codziennie dla każdego obszaru roboczego dla wszystkich typów dzienników i warstw.
Dzienniki analityczne
Istnieją dwa sposoby płacenia za dzienniki analiz: płatność zgodnie z użyciem i poziomy zobowiązań.
Model Pay-As-You-Go jest modelem domyślnym, opartym na faktycznie przechowywanym wolumenie danych, z opcjonalną retencją danych powyżej 90 dni. Ilość danych jest mierzona w GB (109 bajtów).
Usługi Log Analytics i Microsoft Sentinel mają cennik poziomu zobowiązania, wcześniej nazywane rezerwacjami pojemności. Te poziomy cenowe są łączone w uproszczone poziomy cenowe, które są bardziej przewidywalne i oferują znaczne oszczędności w porównaniu z opłatami za rzeczywiste użycie.
Ceny warstwy zobowiązania zaczynają się od 100 GB dziennie. Każde użycie powyżej poziomu zobowiązania jest rozliczane według wybranej stawki warstwy Zobowiązania. Na przykład poziom Zobowiązania wynoszący 100 GB dziennie obejmuje opłaty za zadeklarowany wolumin danych 100 GB oraz wszelkie dodatkowe GB/dzień po obniżonej stawce obowiązującej dla tego poziomu. Efektywna cena za GB to po prostu cena usługi Microsoft Sentinel podzielona przez ilość GB na dzień dla danego tieru. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.
Zwiększ poziom zobowiązania w dowolnym momencie, aby zoptymalizować koszty wraz ze wzrostem wolumenu danych. Obniżenie warstwy Zobowiązania jest dozwolone tylko co 31 dni. Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w usłudze Microsoft Sentinel, a następnie wybierz kartę Cennik . Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.
Aby ustawić i zmienić warstwę Zobowiązania, zobacz Ustawianie lub zmienianie warstwy cenowej. Zmień wszystkie obszary robocze starsze niż lipiec 2023 r. na uproszczony system poziomów cenowych w celu ujednolicenia liczników rozliczeń. Możesz też nadal używać klasycznych warstw cenowych, które oddzielają cennik usługi Log Analytics od klasycznego cennika usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz uproszczone warstwy cenowe.
Dzienniki pomocnicze
Dzienniki pomocnicze to bardzo tania opcja pozyskiwania źródeł danych o wysokim wolumenie, ale niskiej wartości. Są one rozliczane według stałej, niskiej stawki za GB. Mają one między innymi następujące ograniczenia:
- Ograniczone możliwości wykonywania zapytań
- 30-dniowe interaktywne przechowywanie
- Brak obsługi zaplanowanych alertów
Ten typ dziennika najlepiej nadaje się do użycia w automatyzacji podręcznika, zapytań ad hoc, badań i wyszukiwania. Aby uzyskać więcej informacji, zobacz:
- Plany przechowywania dzienników w usłudze Microsoft Sentinel
- Źródła dzienników do użycia na potrzeby pozyskiwania dzienników pomocniczych
Dzienniki podstawowe są podobną opcją, ale mniej opłacalne.
Aby dowiedzieć się więcej o różnicy między przechowywaniem interaktywnym a przechowywaniemdługoterminowym (dawniej nazywanym archiwum), zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.
Uproszczone warstwy cenowe
Uproszczone warstwy cenowe łączą koszty analizy danych dla usługi Microsoft Sentinel oraz koszty magazynowania danych w usłudze Log Analytics w jedną warstwę cenową. Poniższy zrzut ekranu przedstawia uproszczony poziom cenowy, z którego korzystają wszystkie nowe obszary robocze.
Przełącz dowolny obszar roboczy skonfigurowany przy użyciu klasycznych warstw cenowych na uproszczone warstwy cenowe. Aby uzyskać więcej informacji na temat przełączania na nowe ceny, zobacz Rejestrowanie w uproszczonej warstwie cenowej.
Połączenie warstw cenowych zapewnia uproszczenie ogólnego środowiska rozliczeń i zarządzania kosztami, w tym wizualizację na stronie cennika i mniej kroków szacowania kosztów w kalkulatorze platformy Azure. Aby zwiększyć wartość nowych uproszczonych poziomów, korzyść związana z Microsoft Defender dla serwerów P2, która zapewnia 500 MB wprowadzenia danych dotyczących zabezpieczeń do usługi Log Analytics, została rozszerzona na uproszczone poziomy cenowe. Ta zmiana znacznie zwiększa korzyści finansowe wynikające z wprowadzenia kwalifikujących się danych pozyskanych do usługi Microsoft Sentinel dla każdej maszyny wirtualnej chronionej w ten sposób. Aby uzyskać więcej informacji, zobacz Często zadawane pytania — korzyść z usługi Microsoft Defender dla serwerów P2 oferujący 500 MB.
Informacje o rachunku za korzystanie z usługi Microsoft Sentinel
Rozliczalne mierniki są indywidualnymi składnikami usługi, które pojawiają się na rachunku i są wyświetlane w Microsoft Cost Management. Na koniec cyklu rozliczeniowego opłaty za każdy miernik są sumowane. Rachunek lub faktura zawiera sekcję dla wszystkich kosztów usługi Microsoft Sentinel. Dla każdego miernika jest oddzielny wiersz.
Aby wyświetlić rachunek za korzystanie z platformy Azure, wybierz pozycję Analiza kosztów w lewym obszarze nawigacji usługi Cost Management. Na ekranie Analiza kosztów znajdź i wybierz szczegóły faktury w obszarze Wszystkie widoki.
Koszty pokazane na poniższej ilustracji są przeznaczone tylko do celów przykładowych. Nie są one przeznaczone do odzwierciedlenia rzeczywistych kosztów. Od 1 lipca 2023 r. starsze warstwy cenowe mają prefiks Klasyczny.
Opłaty za usługę Microsoft Sentinel i Log Analytics mogą być wyświetlane na rachunku za platformę Azure jako oddzielne elementy wiersza na podstawie wybranego planu cenowego. Uproszczone progi cenowe są reprezentowane jako pojedynczy element wiersza sentinel dla danego progu cenowego. Pozyskiwanie i analiza są rozliczane codziennie. Jeśli obszar roboczy przekracza alokację użycia w ramach warstwy Zobowiązania w danym dniu, rachunek za korzystanie z platformy Azure pokazuje jedną pozycję dla warstwy Zobowiązania ze skojarzonym kosztem stałym oraz osobną pozycję dla kosztu przekraczającego warstwę Zobowiązania, rozliczaną według tej samej obowiązującej stawki warstwy Zobowiązania.
Na poniższych kartach przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure w zależności od uproszczonej warstwy cenowej.
Jeśli opłaty są naliczane według uproszczonej stawki warstwy Zobowiązanie, w tej tabeli przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure.
| Opis kosztów | Nazwa usługi | Metr |
|---|---|---|
| Poziom zobowiązania usługi Microsoft Sentinel | Sentinel |
n Poziom zobowiązania GB |
| Nadwyżka poziomu zobowiązania Microsoft Sentinel | Sentinel |
Analiza |
Dowiedz się, jak wyświetlać i pobierać rachunek za korzystanie z platformy Azure.
Koszty i ceny innych usług
Usługa Microsoft Sentinel integruje się z wieloma innymi usługami platformy Azure, takimi jak Azure Logic Apps, Azure Notebooks i przynieś własne modele uczenia maszynowego (BYOML). Niektóre z tych usług mogą mieć dodatkowe opłaty. Niektóre łączniki danych i rozwiązania usługi Microsoft Sentinel używają usługi Azure Functions do pozyskiwania danych, co również ma oddzielny skojarzony koszt.
Dowiedz się więcej o cenach tych usług:
Wszelkie inne używane usługi mogą wiązać się z kosztami.
Interaktywne i długoterminowe koszty przechowywania danych
Po włączeniu usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics rozważ następujące opcje konfiguracji:
- Przechowuj wszystkie dane pozyskane do obszaru roboczego bez opłat przez pierwsze 90 dni. Opłata za przechowywanie po upływie 90 dni jest naliczana zgodnie ze standardowymi cenami przechowywania usługi Log Analytics.
- Określ różne ustawienia przechowywania dla poszczególnych typów danych. Dowiedz się więcej o przechowywaniu według typu danych.
- Włącz długoterminowe przechowywanie danych, aby mieć dostęp do dzienników historycznych. Długoterminowe przechowywanie to niskokosztowy stan przechowywania przeznaczony do zachowania danych, na przykład w celu zapewnienia zgodności z przepisami. Opłaty są naliczane na podstawie ilości przechowywanych i skanowanych danych. Dowiedz się, jak skonfigurować interaktywne i długoterminowe zasady przechowywania danych w dziennikach usługi Azure Monitor.
- Włącz tabele zawierające dodatkowe dane zabezpieczeń do planu dzienników pomocniczych. Ten plan umożliwia przechowywanie dzienników o dużej ilości, niskiej wartości w niskiej cenie, z tańszym 30-dniowym okresem przechowywania interakcyjnego na początku, aby umożliwić podsumowywanie i wykonywanie zapytań podstawowych. Aby dowiedzieć się więcej na temat planu dzienników pomocniczych i innych planów, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.
Inne koszty pozyskiwania CEF
CEF to obsługiwany format zdarzeń dziennika systemowego w usłudze Microsoft Sentinel. Użyj formatu CEF, aby dostarczyć cenne informacje o zabezpieczeniach z różnych źródeł do obszaru roboczego usługi Microsoft Sentinel. Dzienniki CEF znajdują się w tabeli CommonSecurityLog w usłudze Microsoft Sentinel, która zawiera wszystkie standardowe aktualne pola CEF.
Wiele urządzeń i źródeł danych obsługuje pola rejestrowania poza standardowym schematem CEF. Te dodatkowe pola znajdują się w tabeli AdditionalExtensions. Te pola mogą mieć większe woluminy pozyskiwania niż standardowe pola CEF, ponieważ zawartość zdarzenia w tych polach może być zmienna.
Koszty, które mogą być naliczane po usunięciu zasobów
Usunięcie usługi Microsoft Sentinel nie powoduje usunięcia obszaru roboczego usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel, ani żadnych oddzielnych opłat, które mogą być naliczane w obszarze roboczym.
Bezpłatne źródła danych
Następujące źródła danych są bezpłatne w usłudze Microsoft Sentinel:
- Dzienniki aktywności platformy Azure
- Zdrowie Microsoft Sentinel
- Dzienniki inspekcji usługi Office 365, w tym wszystkie działania programu SharePoint, działania administratora programu Exchange i usługi Teams
- Alerty zabezpieczeń, w tym alerty z następujących źródeł:
- Microsoft Defender XDR
- Microsoft Defender dla Chmury
- Microsoft Defender dla usługi Office 365
- Microsoft Defender for Identity
- Microsoft Defender dla aplikacji chmurowych
- Usługa Microsoft Defender dla punktu końcowego
- Alerty z następujących źródeł:
- Microsoft Defender dla Chmury
- Microsoft Defender dla aplikacji chmurowych
Mimo że alerty są bezpłatne, surowe logi niektórych typów danych usługi Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID i Azure Information Protection (AIP) są płatne.
W poniższej tabeli wymieniono źródła danych w usługach Microsoft Sentinel i Log Analytics, które nie są naliczane. Aby uzyskać więcej informacji, zobacz wykluczone tabele.
| Łącznik danych usługi Microsoft Sentinel | Typ wolnych danych |
|---|---|
| Dzienniki aktywności platformy Azure | AzureActivity |
| Monitorowanie kondycji usługi Microsoft Sentinel1 | SentinelHealth |
| Ochrona identyfikatorów Microsoft Entra | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| Działalność Biura (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | Alert bezpieczeństwa (Defender dla Chmury) |
| Usługa Microsoft Defender dla IoT | AlarmBezpieczeństwa (Defender for IoT) |
| Microsoft Defender XDR | Incydent bezpieczeństwa |
| Alert Bezpieczeństwa | |
| Usługa Microsoft Defender dla punktu końcowego | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender dla aplikacji chmurowych | SecurityAlert (Defender dla aplikacji chmurowych) |
1Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji dla usługi Microsoft Sentinel.
W przypadku łączników danych, które obejmują zarówno bezpłatne, jak i płatne typy danych, wybierz typy danych, które chcesz włączyć.
Dowiedz się więcej na temat łączenia źródeł danych, w tym bezpłatnych i płatnych źródeł danych.
Dowiedz się więcej
- Monitorowanie kosztów usługi Microsoft Sentinel
- Obniżanie kosztów usługi Microsoft Sentinel
- Dowiedz się , jak zoptymalizować inwestycję w chmurę za pomocą usługi Microsoft Cost Management.
- Dowiedz się więcej o zarządzaniu kosztami za pomocą analizy kosztów.
- Dowiedz się, jak zapobiegać nieoczekiwanym kosztom.
- Weź udział w kursie szkoleniowym dotyczącym usługi Cost Management .
- Aby uzyskać więcej wskazówek dotyczących zmniejszania ilości danych usługi Log Analytics, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami.
Następne kroki
W tym artykule przedstawiono sposób planowania kosztów i zrozumienia rozliczeń dla usługi Microsoft Sentinel.