Planejar custos e entender preços e cobrança do Microsoft Sentinel
Ao planejar sua implantação do Microsoft Sentinel, você geralmente deseja entender os modelos de preços e cobrança para otimizar seus custos. Os dados da análise de segurança do Microsoft Sentinel são armazenados em um workspace do Log Analytics do Azure Monitor. A cobrança é baseada no volume de dados analisados no Microsoft Sentinel e armazenados no workspace do Log Analytics. O custo de ambos é combinado em um tipo de preço simplificado. Saiba mais sobre os tipos de preços simplificados ou saiba mais sobre os preços do Microsoft Sentinel em geral.
Antes de adicionar recursos para o Microsoft Sentinel, use a calculadora de preços do Azure para ajudar a estimar seus custos.
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como planejar custos e entender a cobrança do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.
Este artigo faz parte da Guia de implantação do Microsoft Sentinel.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Avaliação gratuita
Habilite o Microsoft Sentinel em um workspace do Azure Monitor Log Analytics e os primeiros 10 GB/dia serão gratuitos por 31 dias. O custo da ingestão de dados do Log Analytics e os encargos de análise do Microsoft Sentinel até o limite de 10 GB/dia são dispensados durante o período de avaliação de 31 dias. Essa avaliação gratuita está sujeita a um limite de 20 workspaces por locatário do Azure.
O uso além desses limites é cobrado de acordo com os preços listados na página de preços do Microsoft Sentinel. Os encargos relacionados às funcionalidades adicionais de automação e Traga seu próprio aprendizado de máquina ainda são aplicáveis durante a avaliação gratuita.
Durante sua avaliação gratuita, encontre recursos de gerenciamento de custos, treinamento e muito mais na guia Notícias e guias> Avaliação gratuita no Microsoft Sentinel. Essa guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam até a expiração da avaliação.
Identificar fontes de dados e planejar custos adequadamente
Identifique as fontes de dados que você está ingerindo ou planeja ingerir em seu workspace no Microsoft Sentinel. O Microsoft Sentinel permite que você traga dados de uma ou mais fontes de dados. Algumas dessas fontes de dados são gratuitas e outras incorrem em encargos. Para saber mais, confira Fontes de dados gratuitas.
Estimar os custos e cobrança antes de usar o Microsoft Sentinel
Use a calculadora de preços do Microsoft Sentinel para estimar custos novos ou variáveis. Insira Microsoft Sentinel no campo de Pesquisa e selecione o bloco resultante do Microsoft Sentinel. A calculadora de preços ajuda você a estimar seus custos prováveis com base na retenção e na ingestão de dados esperadas.
Por exemplo, insira o GB de dados diários que você espera ingerir no Microsoft Sentinel e a região do seu espaço de trabalho. A calculadora fornece o custo mensal agregado entre estes componentes:
- Microsoft Sentinel: logs analíticos e logs básicos
- Azure Monitor: Retenção
- Azure Monitor: Restauração de Dados
- Azure Monitor: Consultas de Pesquisas e Trabalhos de Pesquisa
Entender o modelo de cobrança completo do Microsoft Sentinel
O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, confira a página de preços do Microsoft Sentinel. Os espaços de trabalho anteriores a julho de 2023 podem ter as cobranças do workspace do Log Analytics separadas do Microsoft Sentinel em um tipo de preço clássico. Para ver os encargos relacionados do Log Analytics, confira Preços do Log Analytics do Azure Monitor.
O Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta um novo recurso. É importante entender que pode haver outros custos de infraestrutura adicionais acumulados.
Como você é cobrado pelo Microsoft Sentinel
O preço se baseia nos tipos de registros ingeridos em um espaço de trabalho. Os logs de análise normalmente compõem a maioria de seus logs de segurança de alto valor. Os logs básicos tendem a ser detalhados com baixo valor de segurança. É importante observar que a cobrança é feita por workspace diariamente para todos os tipos de log e camadas.
Logs de análise
Há duas maneiras de pagar pelo serviço dos logs de análise: Pagamento Conforme o Uso e Níveis de Compromisso.
Pagamento Conforme o Uso é o modelo padrão, com base no volume de dados real armazenado e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (109 bytes).
O Log Analytics e o Microsoft Sentinel têm preços de Nível de Compromisso, anteriormente chamados de Reservas de Capacidade. Esses tipos de preços são combinados em tipos de preços simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços de Pagamento Conforme o Uso.
O preço do Nível de Compromisso começa em 100 GB/dia. Qualquer uso acima do nível de compromisso é cobrado pela taxa de Nível de Compromisso selecionada. Por exemplo, um Nível de Compromisso de 100 GB cobra você pelo volume de dados de 100 GB estabelecido no compromisso, bem como por eventuais GB/dia adicionais segundo a taxa com desconto para esse nível.
Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que seu volume de dados aumenta. A redução do nível de compromisso só é permitida a cada 31 dias. Para ver seu tipo de preços atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e, em seguida, selecione a guia Preços. Seu tipo de preços atual está marcada como Tipo atual.
Para definir e alterar o Nível de Compromisso, confira Definir ou alterar o tipo de preço. Alterne os workspaces anteriores a julho de 2023 para a experiência simplificada de tipos de preços para unificar os medidores de cobrança. Ou continue usando os tipos de preço clássicos que separam os preços do Log Analytics do preço clássico do Microsoft Sentinel. Para obter mais informações, confira tipos de preços simplificados.
Logs básicos
Os logs básicos têm um preço reduzido e são cobrados a uma taxa fixa por GB. Eles têm as seguintes limitações:
- Recursos de consulta reduzidos
- Retenção de oito dias
- Sem suporte para alertas agendados
Os logs básicos são mais adequados para uso em automação de guias estratégicos, consulta ad hoc, investigações e pesquisa. Para obter mais informações, consulte Configurar logs básicos no Azure Monitor.
Tipos de preços simplificados
Os tipos de preços simplificadas combinam os custos de análise de dados do Microsoft Sentinel e os custos do armazenamento de ingestão do Log Analytics em um único tipo de preços. A captura de tela a seguir mostra o tipo de preço simplificado que todos os novos workspaces usam.
Alterne qualquer workspace configurado com tipos de preço clássicos para os tipos de preço simplificados. Para obter mais informações sobre como Mudar para o novo preço, consulte Inscrever-se em um tipo de preço simplificado.
A combinação dos tipos de preços simplifica a experiência geral de cobrança e gerenciamento de custos, incluindo a visualização na página de preços e menos etapas para estimar os custos na calculadora do Azure. Para agregar mais valor aos novos tipos simplificados, o benefício atual do Microsoft Defender para servidores P2, que concede 500 MB de ingestão de dados de segurança no Log Analytics, foi estendido aos tipos de preços simplificados. Essa alteração aumenta muito o benefício financeiro de trazer dados elegíveis ingeridos no Microsoft Sentinel para cada VM (máquina virtual) protegida dessa maneira. Para obter mais informações, consulte Perguntas frequentes : benefício do Microsoft Defender para servidores P2 que concede 500 MB.
Entender sua fatura do Microsoft Sentinel
Os medidores faturáveis são os componentes individuais do seu serviço que aparecem na sua cobrança e são mostrados no Gerenciamento de Custos da Microsoft. Ao final do período de cobrança, os preços de cada medidor serão somados. A fatura mostrará uma seção para todos os custos do Microsoft Sentinel. Há um item em linha separada para cada medidor.
Para ver sua fatura do Azure, selecione Análise de Custos no painel de navegação esquerdo de Gerenciamento de Custos. Na tela Análise de custo, selecione o cursor suspenso no campo Exibição e selecione Detalhes da fatura.
Os custos mostrados na imagem a seguir são apenas para fins de exemplo. Eles não têm a finalidade de refletir os custos reais. A partir de 1º de julho de 2023, os tipos de preços antigos serão prefixados com Clássico.
As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados, com base no plano de preços selecionado. Os tipos de preços simplificados são representados como um único item de linha sentinel para o tipo de preço. A ingestão e a análise são cobradas diariamente. Se o seu workspace exceder a alocação de uso do nível de compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para o nível de compromisso com seu custo fixo associado e um item de linha separado para o custo além do nível de compromisso, cobrado na mesma taxa efetiva do nível de compromisso.
As guias a seguir mostram como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure, dependendo do seu tipo de preços simplificado.
Se você for cobrado de acordo com a taxa do nível de compromisso simplificada, essa tabela mostrará como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.
| Descrição do custo | Nome do serviço | Medidor |
|---|---|---|
| Nível de compromisso do Microsoft Sentinel | Sentinel |
nNível de Compromisso de GB |
| Excesso de Nível de Compromisso do Microsoft Sentinel | Sentinel |
Análise |
Saiba como visualizar e baixar sua fatura do Azure.
Custos e preços para outros serviços
O Microsoft Sentinel integra-se a muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Azure Notebooks e traga seus próprios modelos de BYOML (aprendizado de máquina). Alguns desses serviços podem ter encargos adicionais. Alguns dos conectores de dados e soluções do Microsoft Sentinel usam o Azure Functions para ingestão de dados, o que também tem um custo associado separado.
Saiba mais sobre preços para esses serviços:
- Preços dos Aplicativos Lógicos de Automação
- Preços de notebooks
- Preços de BYOML
- Preços do Azure Functions
Qualquer outro serviço usado pode ter custos associados.
Custos de logs arquivados e de retenção de dados
Depois que você habilitar o Microsoft Sentinel em um workspace do Log Analytics, considere estas opções de configuração:
- Retenção gratuita de todos os dados ingeridos no espaço de trabalho durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
- Especifique as diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre a retenção por tipo de dados.
- Habilite a retenção de longo prazo para seus dados e tenha acesso aos registros históricos habilitando os registros arquivados. O arquivamento de dados é uma camada de retenção de baixo custo para armazenamento de arquivamento. Ele é cobrado com base no volume de dados armazenados e verificados. Saiba como configurar políticas de arquivamento e retenção de dados em logs do Azure Monitor. Os logs arquivados estão em visualização pública.
A retenção de 90 dias não se aplica a logs básicos. Se você quiser estender a retenção de dados para logs básicos além de oito dias, armazene esses dados em logs arquivados por até sete anos.
Custos adicionais de ingestão de CEF
O CEF é um formato de eventos de Syslog compatível com o Microsoft Sentinel. Use o CEF para trazer valiosas informações de segurança de várias fontes para seu workspace do Microsoft Sentinel. Os logs de CEF chegam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos de CEF atualizados padrão.
Muitos dispositivos e fontes de dados dão suporte a registro em log de campos além do esquema de CEF padrão. Esses campos adicionais chegam na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.
Custos que podem ser acumulados após a exclusão de recursos
A remoção do Microsoft Sentinel não remove o workspace do Log Analytics em que o Microsoft Sentinel foi implantado ou qualquer cobrança separada que o workspace pode estar incorrendo.
Fontes de dados gratuitas
As seguintes fontes de dados são gratuitas com o Microsoft Sentinel:
- Logs de atividades do Azure
- Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, as atividades de administrador do Exchange e o Teams
- Alertas de segurança, incluindo alertas das seguintes fontes:
- Microsoft Defender XDR
- Microsoft Defender para Nuvem
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade
- Microsoft Defender for Cloud Apps
- Microsoft Defender para ponto de extremidade
- Alertas das seguintes fontes:
- Microsoft Defender para Nuvem
- Microsoft Defender for Cloud Apps
Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados do Microsoft Defender XDR, de aplicativos do Microsoft Defender para Nuvem, do Microsoft Entra ID e da AIP (Proteção de Informações do Azure) são pagos.
A seguinte tabela lista as fontes de dados no Microsoft Sentinel e no Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.
| Conector de dados do Microsoft Sentinel | Tipo de dados gratuitos |
|---|---|
| Logs de atividades do Azure | AzureActivity |
| Proteção do Microsoft Entra ID | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender para Nuvem | SecurityAlert (Defender para Nuvem) |
| Microsoft Defender para IoT | SecurityAlert (Defender para IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender para ponto de extremidade | SecurityAlert (MDATP) |
| Microsoft Defender para Identidade | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (Defender para Aplicativos em Nuvem) |
Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.
Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.
Saiba mais
- Monitorar custos para o Microsoft Sentinel
- Reduzir custos para o Microsoft Sentinel
- Saiba como otimizar seus investimentos na nuvem com o Gerenciamento de Custos da Microsoft.
- Saiba mais sobre como gerenciar custos com a análise de custos.
- Saiba mais sobre como evitar custos inesperados.
- Faça o curso de aprendizado orientado Gerenciamento de Custos.
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, confira Práticas recomendadas do Azure Monitor – Gerenciamento de custos.
Próximas etapas
Neste artigo, você aprendeu a planejar custos e entender as cobranças do Microsoft Sentinel.