Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para estimar os custos de Microsoft Sentinel esperados, utilize a ferramenta de avaliador de custos Microsoft Sentinel e trabalhe diretamente com um especialista em vendas de Segurança para obter uma cotação personalizada ou orientações adicionais.
Os custos de Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura de Azure. Embora este artigo explique como planear os custos e compreender a faturação de Microsoft Sentinel, é-lhe faturado todos os serviços e recursos Azure utilizados pela subscrição do Azure, incluindo os Serviços de parceiros.
Este artigo faz parte do Guia de implementação para Microsoft Sentinel.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Avaliação gratuita
Ative Microsoft Sentinel numa área de trabalho do Log Analytics do Azure Monitor e os primeiros 10 GB/dia ingeridos com o plano de Registos de análise são gratuitos durante 31 dias. O custo da ingestão de dados do Log Analytics e Microsoft Sentinel custos de análise até ao limite de 10 GB/dia são dispensados durante o período de avaliação de 31 dias. Esta avaliação gratuita está sujeita a um limite de 20 áreas de trabalho por inquilino Azure.
Consulte a página de preços do Microsoft Sentinel para obter informações sobre como a utilização para além destes limites é cobrada. Os custos relacionados com capacidades adicionais para automatização e bring your own machine learning continuam a ser aplicáveis durante a avaliação gratuita e quaisquer custos Microsoft Sentinel relacionados com o data lake.
Durante a sua avaliação gratuita, encontre recursos para gestão de custos, formação e muito mais no separador Avaliação gratuita de guias > de & de Notícias no Microsoft Sentinel no portal do Azure. Este separador também apresenta detalhes sobre as datas da sua avaliação gratuita e quantos dias restam até a versão de avaliação expirar.
Compreender o modelo de faturação completo do Microsoft Sentinel
Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, veja a página de preços do Microsoft Sentinel. As áreas de trabalho com mais de julho de 2023 podem ter custos da área de trabalho do Log Analytics separados de Microsoft Sentinel num escalão de preço clássico. Para obter os custos relacionados do Log Analytics, veja Azure Monitorizar os preços do Log Analytics.
Microsoft Sentinel é executada na infraestrutura Azure que acumula custos ao implementar novos recursos. É importante compreender que pode haver outros custos adicionais de infraestrutura que possam acumular-se.
Como lhe é cobrado o Microsoft Sentinel
Os preços baseiam-se no escalão no qual os dados são ingeridos. Para obter mais informações sobre escalões e planos, veja Camadas de dados no Microsoft Sentinel.
Escalão de análise
Existem duas formas de pagar o escalão de análise: os escalões pay as you go e dealocação.
Pay as you go é o modelo predefinido, com base no volume de dados real armazenado e opcionalmente para retenção de dados superior a 90 dias. O volume de dados é medido em GB (109 bytes).
O Log Analytics e Microsoft Sentinel têm preços de escalão de alocação, anteriormente denominados Reservas de Capacidade. Estes escalões de preço são combinados em escalões de preço simplificados que são mais previsíveis e oferecem poupanças substanciais em comparação com os preços pay as you go .
Os preços do escalão de alocação começam nos 100 GB por dia. Qualquer utilização acima do nível de alocação é faturada à taxa de escalão de Alocação que selecionou. Por exemplo, um escalão de Alocação de 100 GB por dia cobra-lhe o volume de dados de 100 GB consolidado, além de qualquer GB/dia extra à taxa efetiva com desconto para esse escalão. O Preço Efetivo por GB é simplesmente o preço Microsoft Sentinel dividido pela quantidade de Escalão GB por dia. Para obter mais informações, veja Microsoft Sentinel preços.
Aumente o escalão de Alocação em qualquer altura para otimizar os custos à medida que o volume de dados aumenta. A redução do escalão Alocação só é permitida a cada 31 dias. Para ver o escalão de preço atual Microsoft Sentinel, selecione Definições no Microsoft Sentinel e, em seguida, selecione o separador Preços. O escalão de preço atual está marcado como Escalão atual.
Para definir e alterar o escalão de Alocação, veja Definir ou alterar o escalão de preço. Mude as áreas de trabalho anteriores a julho de 2023 para a experiência simplificada dos escalões de preço para unificar os medidores de faturação. Em alternativa, continue a utilizar os escalões de preço clássicos que separam os preços do Log Analytics dos preços clássicos Microsoft Sentinel clássicos.
Camada do Data Lake
Para saber mais sobre o data lake Microsoft Sentinel, veja Microsoft Sentinel data lake.
A camada do data lake incorre em custos com base na utilização de várias capacidades do data lake.
- A ingestão do Data Lake é cobrada por GB por todos os dados ingeridos em tabelas com retenção definida apenas para a camada do data lake. Os custos de ingestão do Data Lake não se aplicam quando os dados são ingeridos em tabelas com retenção definida para incluir camadas analíticas e de data lake.
- O processamento de dados é cobrado por GB pelos dados ingeridos em tabelas com retenção definida apenas para a camada do data lake. Suporta transformações como redação, divisão, filtragem e normalização. Os custos de processamento de dados não se aplicam quando os dados são ingeridos em tabelas com retenção definida para incluir camadas analíticas e de data lake.
- Os custos do Data Lake Storage são aplicados por GB por mês para quaisquer dados que permaneçam na camada do data lake após o fim do período de retenção da camada analítica. Os custos baseiam-se numa taxa de compressão de dados simples e uniforme de 6:1. Por exemplo, se reter 600 GB de dados não processados, estes são faturados como 100 GB de dados comprimidos.
- Os custos das consultas do Data Lake aplicam-se por hora de computação utilizada ao utilizar em sessões de blocos de notas, executar tarefas de blocos de notas ou criar nós e arestas para gráficos personalizados. As horas de computação são calculadas ao multiplicar o número de núcleos no conjunto selecionado para o bloco de notas com a quantidade de tempo que uma sessão estava ativa ou uma tarefa em execução. As sessões e tarefas do Data Lake Notebook estão disponíveis em conjuntos de 12, 32 e 80 vCores.
Depois de integrada, a utilização das áreas de trabalho Microsoft Sentinel começa a ser faturada através dos medidores descritos anteriormente em vez da retenção de longo prazo existente (anteriormente conhecida como Arquivo), medidores de ingestão de registos auxiliares ou pesquisa.
gráfico de Microsoft Sentinel
Gráficos incorporados nos portais do Defender e do Purview
As visualizações de gráficos e raios de explosão no portal do Microsoft Defender, juntamente com a Gestão de Riscos Internos e Investigações de Segurança de Dados no portal do Microsoft Purview, não incorrem em custos de faturação ou consumo. Para saber mais sobre os gráficos do Microsoft Purview e do Defender com tecnologia Sentinel, consulte Microsoft Sentinel grafo.
Aceder a gráficos do Defender e do Purview através da coleção de ferramentas de gráficos MCP resulta em custos adicionais.
Gráficos personalizados
Sentinel faturação personalizada do gráfico baseia-se no consumo, com operações de grafos cobradas por hora de computação. Para saber mais sobre o Microsoft Sentinel gráficos personalizados, veja Gráficos personalizados.
As seguintes operações de gráficos personalizados são faturadas por hora de computação abaixo do medidor de gráficos:
Criar um gráfico com blocos de notas no Visual Studio Code.
Consultar um gráfico com blocos de notas no Visual Studio Code.
Consultar um gráfico com Sentinel experiências de grafos através do portal do Defender.
Consultar um gráfico com as APIs de Consulta do Graph.
Consultar um gráfico com Sentinel coleção de ferramentas de gráficos MCP.
Custos de gráficos
Os custos de gráficos são calculados como horas de núcleo vezes o tempo de execução multiplicado pelo número de vCores no SKU selecionado vezes o preço do medidor de gráfico Sentinel. Existe uma única opção de SKU de grafo, que utiliza 49 vCores para operações de compilação de gráficos e 6 vCores para consultas de grafos, com um tempo mínimo de execução de consulta de um minuto.
Por exemplo, quando executa uma tarefa do Bloco de Notas durante uma hora e utiliza APIs de grafos para criar um gráfico que demora cinco minutos, o custo do gráfico é calculado como:
cost = 49 × (Price per vCore hour) × (5/60)
Da mesma forma, se as consultas de grafos demorarem um minuto a serem concluídas, o custo é determinado como:
cost = 6 × (Price per vCore hour) × (1/60)
Qualquer computação do Bloco de Notas/Spark e o Data Lake Storage consumidos para transformações de dados para criar nós e arestas para o gráfico são faturados de forma independente de acordo com os medidores de data lake existentes Sentinel (Data Lake Storage e Advanced Data Insights).
servidor mcP (Model Context Protocol) do Sentinel
Sentinel servidor MCP é uma camada de interface que expõe Sentinel capacidades da plataforma a agentes de IA. Não há custos adicionais para utilizar o próprio servidor MCP. As ferramentas MCP utilizam serviços de plataforma de Sentinel subjacentes, tais como consultas de data lake ou operações de grafos, que são faturadas com base nos respetivos medidores. Além disso, determinadas ferramentas, como o analisador de entidades, podem consumir Unidades de Computação de Segurança (SCUs) quando a execução do raciocínio de IA é necessária. Os clientes são cobrados apenas pelos serviços de plataforma subjacentes e pela computação que consomem.
ferramentas do data lake do Microsoft Sentinel MCP
Para saber mais sobre as ferramentas do Data Lake, veja Recolha de ferramentas de exploração de dados no Microsoft Sentinel servidor MCP.
Instalar e configurar o servidor MCP unificado do Microsoft Sentinel não tem custos. No entanto, a utilização das ferramentas para procurar e obter dados através de consultas Linguagem de Consulta Kusto (KQL) do Microsoft Sentinel data lake invoca o medidor de consulta do data lake. Para saber mais, veja Microsoft Sentinel preços do data lake.
Microsoft Sentinel analisador de entidades MCP
Para saber mais sobre o analisador de entidades, veja Analisador de entidades.
Os clientes são cobrados pelas Unidades de Computação de Segurança (SCUs) utilizadas para o raciocínio de IA que gera a análise de risco da entidade, que se baseia na prevalência, nas informações sobre ameaças e nas relações.
Aplicam-se direitos de Security Copilot existentes. Qualquer utilização que exceda a Microsoft 365 E5 elegibilidade implica custos adicionais. As utilizações excedidas de SCU são faturadas apenas quando a utilização excede o montante aprovisionado e os clientes são cobrados apenas pelas SCUs consumidas. Para obter mais informações, veja Sentinel faturação do MCP e Introdução ao Microsoft Security Copilot para obter informações sobre SCUs.
Além disso, ao utilizar o analisador de entidades, os clientes são cobrados pelas consultas KQL executadas no data lake Microsoft Sentinel.
Microsoft Sentinel ferramenta de triagem MCP
Para saber mais sobre a ferramenta de triagem, veja Coleção de ferramentas de triagem.
Instalar, configurar e utilizar a ferramenta de triagem não tem custos, desde que esteja integrado nos produtos e serviços necessários. Pode obter acesso à triagem sem custos adicionais quando Microsoft Defender, Microsoft Defender para Ponto de Extremidade ou Microsoft Sentinel estiver configurado no portal do Microsoft Defender.
Compreender a fatura do Microsoft Sentinel
Os medidores faturáveis são os componentes individuais do seu serviço que aparecem na sua fatura e são apresentados no Microsoft Cost Management. No final do ciclo de faturação, os custos de cada medidor são somados. A fatura ou fatura mostra uma secção para todos os custos de Microsoft Sentinel. Existe um item de linha separado para cada medidor.
Para ver a fatura do Azure, selecione Análise de Custos no painel de navegação esquerdo do Cost Management. No ecrã Análise de custos , localize e selecione os Detalhes da fatura em Todas as vistas. Para compreender o nível de acesso necessário para ver as informações de faturação, veja Gerir o acesso às informações de faturação de Azure.
Os custos apresentados na imagem seguinte são apenas para fins de exemplo. Não se destinam a refletir os custos reais. A partir de 1 de julho de 2023, os escalões de preço legados têm o prefixo Clássico.
Microsoft Sentinel e os custos do Log Analytics podem aparecer na fatura do Azure como itens de linha separados com base no plano de preços selecionado. Os escalões de preço simplificados são representados como um item de linha única sentinel para o escalão de preço. A ingestão e a análise são faturadas diariamente. Se a área de trabalho exceder a alocação de utilização do escalão de Alocação num determinado dia, a fatura de Azure mostra um item de linha para o escalão de Alocação com o custo fixo associado e um item de linha separado para o custo para além do escalão de Alocação, faturado à mesma taxa de escalão de Alocação efetiva.
Os separadores seguintes mostram como os custos Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura de Azure consoante o escalão de preço simplificado.
Se for faturado à taxa de escalão de Alocação simplificada, esta tabela mostra como os custos Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da fatura de Azure.
| Descrição dos custos | Nome do serviço | Medidor |
|---|---|---|
| escalão de Alocação Microsoft Sentinel | Sentinel |
n Escalão de alocação de GB |
| utilização excedida do escalão de Alocação do Microsoft Sentinel | Sentinel |
Análise |
Saiba como ver e transferir a fatura do Azure.
Custos e preços de outros serviços
Microsoft Sentinel integra-se com muitos outros serviços de Azure, incluindo Azure Logic Apps, Azure Notebooks e traga os seus próprios modelos de machine learning (BYOML). Alguns destes serviços podem ter custos adicionais. Alguns dos conectores de dados e soluções de Microsoft Sentinel utilizam Azure Functions para a ingestão de dados, que também tem um custo associado separado.
Saiba mais sobre os preços destes serviços:
- Preços do Automation-Logic Apps
- Preços dos blocos de notas
- Preços da BYOML
- preços do Azure Functions
Quaisquer outros serviços que utilize poderão ter custos associados.
Custos de retenção de dados interativos e totais
Depois de ativar Microsoft Sentinel numa área de trabalho do Log Analytics, considere estas opções de configuração:
- Retenha todos os dados ingeridos na área de trabalho gratuitamente durante os primeiros 90 dias. A retenção para além dos 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
- Especifique diferentes definições de retenção para tipos de dados individuais. Saiba mais sobre a retenção por tipo de dados.
- Expanda a retenção de dados com retenção total para que tenha acesso aos registos históricos. O data lake de Microsoft Sentinel é um estado de retenção de baixo custo para a preservação de dados, como a conformidade regulamentar. É cobrado com base no volume de dados armazenados e analisados. Utilize tabelas de gestão > de dados para ajustar o período de retenção De análise e Total e saiba mais em O que é Microsoft Sentinel data lake?
- Mude as tabelas que contêm dados de segurança secundários para a camada Lake. Isto permite-lhe armazenar registos de volume elevado e de baixo valor a um preço baixo, com capacidades de consulta incorporadas. Utilize tabelas de gestão > de dados para mudar tabelas do escalão Analytics para Lake .
Outros custos de ingestão de CEF
O CEF é um formato de eventos Syslog suportado no Microsoft Sentinel. Utilize o CEF para trazer informações de segurança valiosas de várias origens para a área de trabalho Microsoft Sentinel. Os registos CEF são apresentados na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos CEF atualizados padrão.
Muitos dispositivos e origens de dados suportam campos de registo para além do esquema CEF padrão. Estes campos adicionais estão na tabela AdditionalExtensions. Estes campos podem ter volumes de ingestão superiores aos campos CEF padrão, uma vez que o conteúdo do evento nestes campos pode ser variável.
Custos que podem acumular-se após a eliminação de recursos
Remover Microsoft Sentinel não remove a área de trabalho do Log Analytics Microsoft Sentinel foi implementada ou quaisquer custos separados que a área de trabalho possa estar a incorrer.
Origens de dados gratuitas
As seguintes origens de dados são gratuitas com Microsoft Sentinel:
- Registos de Atividades do Azure
- estado de funcionamento do Microsoft Sentinel
- Office 365 Registos de Auditoria, incluindo todas as atividades do SharePoint, a atividade de administrador do Exchange e o Teams
- Alertas de segurança, incluindo alertas das seguintes origens:
- Microsoft Defender XDR
- Microsoft Defender para Nuvem
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade?
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Alertas das seguintes origens:
- Microsoft Defender para Nuvem
- Microsoft Defender for Cloud Apps
Embora os alertas sejam gratuitos, os registos não processados de alguns Microsoft Defender XDR, o Defender para Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID e tipos de dados Azure Proteção de Informações (AIP) são pagos.
A tabela seguinte lista as origens de dados no Microsoft Sentinel e no Log Analytics que não são cobrados. Para obter mais informações, veja tabelas excluídas.
| Microsoft Sentinel conector de dados | Tipo de dados gratuito |
|---|---|
| Atividade Azure | AzureActivity |
| Monitorização do estado de funcionamento do Microsoft Sentinel1 | SentinelHealth |
| Proteção Microsoft Entra ID | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender para Nuvem | SecurityAlert (Central de Segurança do Azure) |
| Microsoft Defender para IoT | SecurityAlert (Central de Segurança do Azure para IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender para Ponto de Extremidade | SecurityAlert (MDATP) |
| Microsoft Defender para Identidade | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender para Office 365 (Pré-visualização) | SecurityAlert (OATP) |
1Para obter mais informações, veja Auditoria e monitorização do estado de funcionamento para Microsoft Sentinel.
Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione os tipos de dados que pretende ativar.
Saiba mais sobre como ligar origens de dados, incluindo origens de dados gratuitas e pagas.
Saiba mais
- Monitorizar os custos do Microsoft Sentinel
- Reduzir os custos de Microsoft Sentinel
- Saiba como otimizar o investimento na cloud com o Microsoft Cost Management.
- Saiba mais sobre como gerir os custos com a análise de custos.
- Saiba como evitar custos inesperados.
- Faça o curso de aprendizagem orientada do Cost Management .
- Para obter mais sugestões sobre como reduzir o volume de dados do Log Analytics, veja Azure Monitorizar as melhores práticas – Gestão de custos.