Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel
Podczas planowania wdrożenia usługi Microsoft Sentinel zazwyczaj chcesz zrozumieć jego ceny i modele rozliczeń, aby zoptymalizować koszty. Dane analizy zabezpieczeń usługi Microsoft Sentinel są przechowywane w obszarze roboczym usługi Azure Monitor Log Analytics. Rozliczenia są oparte na ilości danych analizowanych w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics. Koszt obu tych elementów jest połączony w uproszczonej warstwie cenowej. Dowiedz się więcej o uproszczonych warstwach cenowych lub dowiedz się więcej na temat ogólnych cen usługi Microsoft Sentinel.
Przed dodaniem jakichkolwiek zasobów dla usługi Microsoft Sentinel skorzystaj z kalkulatora cen platformy Azure, aby ułatwić oszacowanie kosztów.
Koszty usługi Microsoft Sentinel są tylko częścią miesięcznych kosztów na rachunku za platformę Azure. Chociaż w tym artykule wyjaśniono, jak planować koszty i rozumieć rozliczenia dla usługi Microsoft Sentinel, opłaty są naliczane za wszystkie usługi i zasoby platformy Azure używane przez subskrypcję platformy Azure, w tym usługi partnerskie.
Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Bezpłatna wersja próbna
Włącz usługę Microsoft Sentinel w obszarze roboczym usługi Azure Monitor Log Analytics, a pierwsze 10 GB/dzień jest bezpłatne przez 31 dni. Koszt pozyskiwania danych usługi Log Analytics i opłat za analizę usługi Microsoft Sentinel do limitu 10 GB/dnia zostanie zwolniony w okresie 31-dniowej wersji próbnej. Ta bezpłatna wersja próbna podlega limitowi 20 obszarów roboczych na dzierżawę platformy Azure.
Użycie wykraczające poza te limity jest naliczane zgodnie z cennikiem wymienionym na stronie cennika usługi Microsoft Sentinel. Opłaty związane z dodatkowymi możliwościami automatyzacji i uczenia maszynowego są nadal stosowane podczas bezpłatnej wersji próbnej.
Podczas bezpłatnej wersji próbnej znajdź zasoby dotyczące zarządzania kosztami, szkolenia i nie tylko na karcie Aktualności i przewodniki > Bezpłatna wersja próbna w usłudze Microsoft Sentinel. Na tej karcie są również wyświetlane szczegółowe informacje o datach bezpłatnej wersji próbnej oraz o tym, ile dni pozostało do wygaśnięcia wersji próbnej.
Zidentyfikuj źródła danych i odpowiednio zaplanuj koszty
Zidentyfikuj źródła danych, które są pozyskiwane lub planujesz pozyskiwanie do obszaru roboczego w usłudze Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia wprowadzanie danych z co najmniej jednego źródła danych. Niektóre z tych źródeł danych są bezpłatne, a inne generują opłaty. Aby uzyskać więcej informacji, zobacz Bezpłatne źródła danych.
Szacowanie kosztów i rozliczeń przed rozpoczęciem korzystania z usługi Microsoft Sentinel
Skorzystaj z kalkulatora cen usługi Microsoft Sentinel, aby oszacować nowe lub zmieniające się koszty. Wprowadź ciąg Microsoft Sentinel w polu Wyszukaj i wybierz wynikowy kafelek usługi Microsoft Sentinel. Kalkulator cen pomaga oszacować prawdopodobne koszty na podstawie oczekiwanego pozyskiwania i przechowywania danych.
Na przykład wprowadź GB danych dziennych, które mają zostać pozyskane w usłudze Microsoft Sentinel, oraz region dla obszaru roboczego. Kalkulator zapewnia zagregowany miesięczny koszt dla tych składników:
- Microsoft Sentinel: dzienniki analityczne i dzienniki podstawowe
- Azure Monitor: przechowywanie
- Azure Monitor: przywracanie danych
- Azure Monitor: wyszukiwanie zapytań i zadań wyszukiwania
Omówienie pełnego modelu rozliczeń dla usługi Microsoft Sentinel
Usługa Microsoft Sentinel oferuje elastyczny i przewidywalny model cen. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Microsoft Sentinel. Obszary robocze starsze niż lipiec 2023 r. mogą mieć opłaty za obszar roboczy usługi Log Analytics niezależnie od usługi Microsoft Sentinel w klasycznej warstwie cenowej. Aby uzyskać powiązane opłaty za usługę Log Analytics, zobacz Cennik usługi Log Analytics usługi Azure Monitor.
Usługa Microsoft Sentinel działa w infrastrukturze platformy Azure, która nalicza koszty podczas wdrażania nowych zasobów. Ważne jest, aby zrozumieć, że mogą istnieć inne, dodatkowe koszty infrastruktury, które mogą być naliczane.
Jak są naliczane opłaty za usługę Microsoft Sentinel
Cennik jest oparty na typach dzienników pozyskanych do obszaru roboczego. Dzienniki analizy zwykle stanowią większość dzienników zabezpieczeń o wysokiej wartości. Podstawowe dzienniki zwykle są pełne z małą wartością zabezpieczeń. Należy pamiętać, że rozliczenia są wykonywane codziennie dla każdego obszaru roboczego dla wszystkich typów dzienników i warstw.
Dzienniki analizy
Istnieją dwa sposoby płacenia za dzienniki analiz: warstwy płatności zgodnie z rzeczywistym użyciem i zobowiązania.
Model płatności zgodnie z rzeczywistym użyciem jest modelem domyślnym na podstawie rzeczywistego woluminu danych przechowywanego i opcjonalnie przechowywania danych poza 90 dni. Ilość danych jest mierzona w GB (109 bajtów).
Usługi Log Analytics i Microsoft Sentinel mają cennik warstwy zobowiązania, dawniej nazywane rezerwacjami pojemności. Te warstwy cenowe są łączone w uproszczone warstwy cenowe, które są bardziej przewidywalne i oferują znaczne oszczędności w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem .
Ceny warstwy zobowiązania zaczynają się od 100 GB dziennie. Każde użycie powyżej poziomu zobowiązania jest rozliczane według wybranej stawki warstwy Zobowiązania. Na przykład warstwa Zobowiązanie wynosząca 100 GB dziennie nalicza opłaty za zatwierdzony wolumin danych 100 GB oraz dodatkowe GB/dzień z obniżoną stawką obowiązującą dla tej warstwy. Cena obowiązująca za GB jest po prostu ceną usługi Microsoft Sentinel podzieloną przez cenę warstwy GB na dzień. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.
Zwiększ warstwę Zobowiązanie w dowolnym momencie, aby zoptymalizować koszty w miarę wzrostu ilości danych. Obniżenie warstwy Zobowiązanie jest dozwolone tylko co 31 dni. Aby wyświetlić bieżącą warstwę cenową usługi Microsoft Sentinel, wybierz pozycję Ustawienia w usłudze Microsoft Sentinel, a następnie wybierz kartę Cennik. Bieżąca warstwa cenowa jest oznaczona jako Bieżąca warstwa.
Aby ustawić i zmienić warstwę Zobowiązania, zobacz Ustawianie lub zmienianie warstwy cenowej. Przełącz wszystkie obszary robocze starsze niż lipiec 2023 r. do uproszczonego środowiska warstw cenowych w celu ujednolicenia mierników rozliczeń. Możesz też nadal używać klasycznych warstw cenowych, które oddzielają cennik usługi Log Analytics od klasycznego cennika usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz uproszczone warstwy cenowe.
Dzienniki podstawowe
Dzienniki podstawowe mają obniżoną cenę i są naliczane za ryczałtowaną stawkę za GB. Mają następujące ograniczenia:
- Ograniczone możliwości wykonywania zapytań
- Przechowywanie ośmiu dni
- Brak obsługi zaplanowanych alertów
Dzienniki podstawowe najlepiej nadają się do użycia w automatyzacji podręcznika, zapytaniu ad hoc, badaniach i wyszukiwaniu. Aby uzyskać więcej informacji, zobacz Konfigurowanie dzienników podstawowych w usłudze Azure Monitor.
Uproszczone warstwy cenowe
Uproszczone warstwy cenowe łączą koszty analizy danych dla usługi Microsoft Sentinel i magazynowania pozyskiwania usługi Log Analytics w jedną warstwę cenową. Poniższy zrzut ekranu przedstawia uproszczoną warstwę cenową używaną przez wszystkie nowe obszary robocze.
Przełącz dowolny obszar roboczy skonfigurowany przy użyciu klasycznych warstw cenowych na uproszczone warstwy cenowe. Aby uzyskać więcej informacji na temat przełączania na nowe ceny, zobacz Rejestrowanie w uproszczonej warstwie cenowej.
Połączenie warstw cenowych zapewnia uproszczenie ogólnego środowiska rozliczeń i zarządzania kosztami, w tym wizualizację na stronie cennika i mniej kroków szacowania kosztów w kalkulatorze platformy Azure. Aby dodać dodatkową wartość do nowych uproszczonych warstw, bieżąca korzyść usługi Microsoft Defender dla serwerów P2 przyznająca 500 MB pozyskiwania danych zabezpieczeń do usługi Log Analytics została rozszerzona na uproszczone warstwy cenowe. Ta zmiana znacznie zwiększa korzyści finansowe wynikające z wprowadzenia kwalifikujących się danych pozyskanych do usługi Microsoft Sentinel dla każdej maszyny wirtualnej chronionej w ten sposób. Aby uzyskać więcej informacji, zobacz Często zadawane pytania — korzyść usługi Microsoft Defender dla serwerów P2, która udziela 500 MB.
Informacje o rachunku za korzystanie z usługi Microsoft Sentinel
Rozliczane mierniki są poszczególnymi składnikami usługi wyświetlanymi na rachunku i są wyświetlane w usłudze Microsoft Cost Management. Na koniec cyklu rozliczeniowego opłaty za każdy miernik są sumowane. Rachunek lub faktura zawiera sekcję dla wszystkich kosztów usługi Microsoft Sentinel. Dla każdego miernika istnieje oddzielny wiersz.
Aby wyświetlić rachunek za korzystanie z platformy Azure, wybierz pozycję Analiza kosztów w lewym obszarze nawigacji usługi Cost Management. Na ekranie Analiza kosztów wybierz daszek listy rozwijanej w polu Widok , a następnie wybierz pozycję Szczegóły faktury.
Koszty pokazane na poniższej ilustracji są przeznaczone tylko do celów przykładowych. Nie są one przeznaczone do odzwierciedlenia rzeczywistych kosztów. Od 1 lipca 2023 r. starsze warstwy cenowe mają prefiks Klasyczny.
Opłaty za usługę Microsoft Sentinel i Log Analytics mogą być wyświetlane na rachunku za platformę Azure jako oddzielne elementy wiersza na podstawie wybranego planu cenowego. Uproszczone warstwy cenowe są reprezentowane jako pojedynczy sentinel element wiersza dla warstwy cenowej. Pozyskiwanie i analiza są rozliczane codziennie. Jeśli obszar roboczy przekracza alokację użycia warstwy Zobowiązanie w danym dniu, rachunek za korzystanie z platformy Azure pokazuje jeden wiersz dla warstwy Zobowiązanie ze skojarzonym kosztem stałym, a oddzielny element wiersza kosztu poza warstwą Zobowiązanie rozliczany według tej samej obowiązującej stawki warstwy Zobowiązania.
Na poniższych kartach przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure w zależności od uproszczonej warstwy cenowej.
Jeśli opłaty są naliczane według uproszczonej stawki warstwy Zobowiązanie, w tej tabeli przedstawiono sposób wyświetlania kosztów usługi Microsoft Sentinel w kolumnach Nazwa usługi i Miernik rachunku za korzystanie z platformy Azure.
| Opis kosztów | Service name | Miernik |
|---|---|---|
| Warstwa zobowiązania usługi Microsoft Sentinel | Sentinel |
n Warstwa zobowiązania GB |
| Nadwyżka warstwy zobowiązania usługi Microsoft Sentinel | Sentinel |
Analiza |
Dowiedz się, jak wyświetlać i pobierać rachunek za korzystanie z platformy Azure.
Koszty i ceny innych usług
Usługa Microsoft Sentinel integruje się z wieloma innymi usługami platformy Azure, takimi jak Azure Logic Apps, Azure Notebooks i przynieś własne modele uczenia maszynowego (BYOML). Niektóre z tych usług mogą mieć dodatkowe opłaty. Niektóre łączniki danych i rozwiązania usługi Microsoft Sentinel używają usługi Azure Functions do pozyskiwania danych, co również ma oddzielny skojarzony koszt.
Dowiedz się więcej o cenach tych usług:
Wszelkie inne używane usługi mogą wiązać się z kosztami.
Przechowywanie danych i zarchiwizowane koszty dzienników
Po włączeniu usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics rozważ następujące opcje konfiguracji:
- Zachowaj wszystkie dane pozyskane do obszaru roboczego bez opłat przez pierwsze 90 dni. Opłata za przechowywanie po upływie 90 dni jest naliczana zgodnie ze standardowymi cenami przechowywania usługi Log Analytics.
- Określ różne ustawienia przechowywania dla poszczególnych typów danych. Dowiedz się więcej o przechowywaniu według typu danych.
- Włącz długoterminowe przechowywanie danych i dostęp do dzienników historycznych przez włączenie zarchiwizowanych dzienników. Archiwum danych to warstwa przechowywania o niskich kosztach dla magazynu archiwalnego. Opłaty są naliczane na podstawie ilości przechowywanych i skanowanych danych. Dowiedz się, jak skonfigurować zasady przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor. Zarchiwizowane dzienniki są dostępne w publicznej wersji zapoznawczej.
Przechowywanie 90 dni nie ma zastosowania do dzienników podstawowych. Jeśli chcesz rozszerzyć przechowywanie danych dla dzienników podstawowych po ośmiu dniach, zapisz te dane w zarchiwizowanych dziennikach przez maksymalnie siedem lat.
Inne koszty pozyskiwania cef
CEF to obsługiwany format zdarzeń dziennika systemowego w usłudze Microsoft Sentinel. Użyj formatu CEF, aby dostarczyć cenne informacje o zabezpieczeniach z różnych źródeł do obszaru roboczego usługi Microsoft Sentinel. Dzienniki CEF znajdują się w tabeli CommonSecurityLog w usłudze Microsoft Sentinel, która zawiera wszystkie standardowe aktualne pola CEF.
Wiele urządzeń i źródeł danych obsługuje pola rejestrowania poza standardowym schematem CEF. Te dodatkowe pola znajdują się w tabeli AdditionalExtensions. Te pola mogą mieć większe woluminy pozyskiwania niż standardowe pola CEF, ponieważ zawartość zdarzenia w tych polach może być zmienna.
Koszty, które mogą być naliczane po usunięciu zasobów
Usunięcie usługi Microsoft Sentinel nie powoduje usunięcia obszaru roboczego usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel, ani żadnych oddzielnych opłat, które mogą być naliczane w obszarze roboczym.
Bezpłatne źródła danych
Następujące źródła danych są bezpłatne w usłudze Microsoft Sentinel:
- Dzienniki aktywności platformy Azure
- Kondycja usługi Microsoft Sentinel
- Dzienniki inspekcji usługi Office 365, w tym wszystkie działania programu SharePoint, działania administratora programu Exchange i usługi Teams
- Alerty zabezpieczeń, w tym alerty z następujących źródeł:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender dla usługi Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Usługa Microsoft Defender dla punktu końcowego
- Alerty z następujących źródeł:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
Mimo że alerty są bezpłatne, płatne są nieprzetworzone dzienniki niektórych typów danych usługi Microsoft Defender XDR, Defender dla Chmury Apps, Microsoft Entra ID i Azure Information Protection (AIP).
W poniższej tabeli wymieniono źródła danych w usługach Microsoft Sentinel i Log Analytics, które nie są naliczane. Aby uzyskać więcej informacji, zobacz wykluczone tabele.
| Łącznik danych usługi Microsoft Sentinel | Typ wolnych danych |
|---|---|
| Dzienniki aktywności platformy Azure | AzureActivity |
| Monitorowanie kondycji usługi Microsoft Sentinel1 | SentinelHealth |
| Ochrona tożsamości Microsoft Entra | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender dla Chmury | SecurityAlert (Defender dla Chmury) |
| Usługa Microsoft Defender dla IoT | SecurityAlert (Defender for IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Ochrona punktu końcowego w usłudze Microsoft Defender | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| aplikacje Microsoft Defender dla Chmury | SecurityAlert (aplikacje Defender dla Chmury) |
1Aby uzyskać więcej informacji, zobacz Inspekcja i monitorowanie kondycji dla usługi Microsoft Sentinel.
W przypadku łączników danych, które obejmują zarówno bezpłatne, jak i płatne typy danych, wybierz typy danych, które chcesz włączyć.
Dowiedz się więcej na temat łączenia źródeł danych, w tym bezpłatnych i płatnych źródeł danych.
Dowiedz się więcej
- Monitorowanie kosztów usługi Microsoft Sentinel
- Obniżanie kosztów usługi Microsoft Sentinel
- Dowiedz się , jak zoptymalizować inwestycję w chmurę za pomocą usługi Microsoft Cost Management.
- Dowiedz się więcej o zarządzaniu kosztami za pomocą analizy kosztów.
- Dowiedz się, jak zapobiegać nieoczekiwanym kosztom.
- Weź udział w kursie szkoleniowym dotyczącym usługi Cost Management .
- Aby uzyskać więcej wskazówek dotyczących zmniejszania ilości danych usługi Log Analytics, zobacz Najlepsze rozwiązania dotyczące usługi Azure Monitor — Zarządzanie kosztami.
Następne kroki
W tym artykule przedstawiono sposób planowania kosztów i zrozumienia rozliczeń dla usługi Microsoft Sentinel.