Planeje os custos e entenda os preços e a cobrança do Microsoft Sentinel
Ao planejar sua implantação do Microsoft Sentinel, você normalmente deseja entender seus modelos de preços e cobrança para otimizar seus custos. Os dados de análise de segurança do Microsoft Sentinel são armazenados em um espaço de trabalho do Azure Monitor Log Analytics. A cobrança é baseada no volume de dados analisados no Microsoft Sentinel e armazenados no espaço de trabalho do Log Analytics. O custo de ambos é combinado em um nível de preço simplificado. Saiba mais sobre os níveis de preços simplificados ou saiba mais sobre os preços do Microsoft Sentinel em geral.
Antes de adicionar quaisquer recursos para o Microsoft Sentinel, utilize a calculadora de preços do Azure para ajudar a estimar os seus custos.
Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura do Azure. Embora este artigo explique como planejar custos e entender a cobrança do Microsoft Sentinel, você será cobrado por todos os serviços e recursos do Azure que sua assinatura do Azure usa, incluindo serviços de parceiros.
Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Avaliação gratuita
Habilite o Microsoft Sentinel em um espaço de trabalho do Azure Monitor Log Analytics e os primeiros 10 GB/dia são gratuitos por 31 dias. O custo da ingestão de dados do Log Analytics e das taxas de análise do Microsoft Sentinel até o limite de 10 GB/dia é isento durante o período de avaliação de 31 dias. Esta avaliação gratuita está sujeita a um limite de 20 áreas de trabalho por inquilino do Azure.
O uso além desses limites é cobrado de acordo com os preços listados na página de preços do Microsoft Sentinel. Cobranças relacionadas a recursos extras para automação e traga seu próprio aprendizado de máquina ainda são aplicáveis durante a avaliação gratuita.
Durante a avaliação gratuita, encontre recursos para gerenciamento de custos, treinamento e muito mais na guia Avaliação gratuita dos guias > Notícias & no Microsoft Sentinel. Esta guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam para a avaliação expirar.
Identificar fontes de dados e planejar custos de acordo
Identifique as fontes de dados que você está ingerindo ou planeja ingerir em seu espaço de trabalho no Microsoft Sentinel. O Microsoft Sentinel permite que você traga dados de uma ou mais fontes de dados. Algumas destas fontes de dados são gratuitas e outras incorrem em encargos. Para obter mais informações, consulte Fontes de dados gratuitas.
Estimar custos e faturamento antes de usar o Microsoft Sentinel
Use a calculadora de preços do Microsoft Sentinel para estimar custos novos ou alterados. Digite Microsoft Sentinel na caixa Pesquisar e selecione o bloco resultante do Microsoft Sentinel. A calculadora de preços ajudará a calcular os custos prováveis com base na ingestão e retenção de dados esperados.
Por exemplo, insira o GB de dados diários que você espera ingerir no Microsoft Sentinel e a região do seu espaço de trabalho. A calculadora fornece o custo mensal agregado entre estes componentes:
- Microsoft Sentinel: logs do Google Analytics e logs básicos
- Azure Monitor: Retenção
- Azure Monitor: Restauração de Dados
- Azure Monitor: Consultas de Pesquisa e Trabalhos de Pesquisa
Compreender o modelo de faturação completo do Microsoft Sentinel
O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, consulte a página de preços do Microsoft Sentinel. Espaços de trabalho anteriores a julho de 2023 podem ter cobranças de espaço de trabalho do Log Analytics separadas do Microsoft Sentinel em um nível de preço clássico. Para obter as taxas relacionadas do Log Analytics, consulte Preços do Azure Monitor Log Analytics.
O Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta novos recursos. É importante entender que pode haver outros custos extras de infraestrutura que podem se acumular.
Como você é cobrado pelo Microsoft Sentinel
O preço é baseado nos tipos de logs ingeridos em um espaço de trabalho. Os logs do Google Analytics normalmente compõem a maioria dos seus logs de segurança de alto valor. Os logs básicos tendem a ser detalhados com baixo valor de segurança. É importante observar que a cobrança é feita por espaço de trabalho diariamente para todos os tipos e camadas de log.
Logs do Google Analytics
Há duas maneiras de pagar pelos logs de análise: Pay-As-You-Go e Níveis de Compromisso.
O Pay-As-You-Go é o modelo padrão, baseado no volume real de dados armazenados e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (10a 9 bytes).
O Log Analytics e o Microsoft Sentinel têm preços de Nível de Compromisso , anteriormente chamados de Reservas de Capacidade. Esses níveis de preços são combinados em níveis de preços simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços pré-pagos .
O preço do nível de compromisso começa em 100 GB/dia. Qualquer uso acima do nível de compromisso é cobrado de acordo com a taxa de Nível de Compromisso selecionada. Por exemplo, um Nível de Compromisso de 100 GB cobra o volume de dados de 100 GB comprometido, além de qualquer GB/dia extra com a taxa de desconto para esse nível.
Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que o volume de dados aumenta. A redução do nível de compromisso só é permitida a cada 31 dias. Para ver o seu nível de preços atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e, em seguida, selecione a guia Preços . Seu nível de preço atual está marcado como Nível atual.
Para definir e alterar o Nível de Compromisso, consulte Definir ou alterar o nível de preços. Mude todos os espaços de trabalho anteriores a julho de 2023 para a experiência simplificada de níveis de preços para unificar os medidores de faturamento. Ou continue a usar os níveis de preços clássicos que separam os preços do Log Analytics dos preços clássicos do Microsoft Sentinel. Para obter mais informações, consulte Níveis de preços simplificados.
Logs básicos
Os logs básicos têm um preço reduzido e são cobrados a uma taxa fixa por GB. Têm as seguintes limitações:
- Recursos de consulta reduzidos
- Retenção de oito dias
- Sem suporte para alertas agendados
Os logs básicos são mais adequados para uso em automação de playbooks, consultas ad-hoc, investigações e pesquisa. Para obter mais informações, consulte Configurar logs básicos no Azure Monitor.
Níveis de preços simplificados
Os níveis de preços simplificados combinam os custos de análise de dados para o Microsoft Sentinel e os custos de armazenamento de ingestão do Log Analytics em um único nível de preço. A captura de tela a seguir mostra a camada de preço simplificada que todos os novos espaços de trabalho usam.
Mude qualquer espaço de trabalho configurado com níveis de preços clássicos para os níveis de preços simplificados. Para obter mais informações sobre como mudar para novos preços, consulte Inscrever-se em um nível de preço simplificado.
A combinação dos níveis de preços oferece uma simplificação para a experiência geral de cobrança e gerenciamento de custos, incluindo visualização na página de preços e menos etapas estimando custos na calculadora do Azure. Para agregar mais valor às novas camadas simplificadas, o benefício atual do Microsoft Defender for Servers P2, que concede 500 MB de ingestão de dados de segurança no Log Analytics, é estendido aos níveis de preços simplificados. Essa alteração aumenta consideravelmente o benefício financeiro de trazer dados elegíveis ingeridos no Microsoft Sentinel para cada máquina virtual (VM) protegida dessa maneira. Para obter mais informações, consulte Perguntas frequentes - Benefício do Microsoft Defender for Servers P2 que concede 500 MB.
Compreender a sua fatura do Microsoft Sentinel
Os contadores faturáveis são os componentes individuais do seu serviço que aparecem na sua fatura e são apresentados no Microsoft Cost Management. No fim do ciclo de faturação, são somados os custos de cada medidor. Sua fatura ou fatura mostra uma seção para todos os custos do Microsoft Sentinel. Há um item de linha separado para cada medidor.
Para ver sua fatura do Azure, selecione Análise de custos na navegação à esquerda de Gerenciamento de custos. Na tela Análise de custos, selecione o cursor suspenso no campo Exibir e selecione Detalhes da fatura.
Os custos mostrados na imagem a seguir são, por exemplo, apenas para fins de finalidade. Não se destinam a refletir os custos reais. A partir de 1º de julho de 2023, os níveis de preços legados serão prefixados com o Classic.
As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados com base no seu plano de preços selecionado. Os níveis de preços simplificados são representados como um único sentinel item de linha para o nível de preços. A ingestão e a análise são faturadas diariamente. Se o seu espaço de trabalho exceder a alocação de uso da Camada de Compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para a Camada de Compromisso com seu custo fixo associado e um item de linha separado para o custo além da Camada de Compromisso, cobrado com a mesma taxa efetiva da Camada de Compromisso.
As guias a seguir mostram como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure, dependendo do seu nível de preço simplificado.
Se você for cobrado pela taxa de camada de compromisso simplificada, esta tabela mostra como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.
| Descrição do custo | Nome do serviço | Metro |
|---|---|---|
| Nível de compromisso do Microsoft Sentinel | Sentinel |
n Nível de compromisso GB |
| Excesso de nível de compromisso do Microsoft Sentinel | Sentinel |
Análise |
Saiba como ver e transferir a sua fatura do Azure.
Custos e preços de outros serviços
O Microsoft Sentinel integra-se com muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Blocos de Anotações do Azure e traga seus próprios modelos de aprendizado de máquina (BYOML). Alguns destes serviços poderão ter custos adicionais. Alguns dos conectores de dados e soluções do Microsoft Sentinel usam o Azure Functions para ingestão de dados, que também tem um custo associado separado.
Saiba mais sobre os preços destes serviços:
- Preços de aplicativos lógicos de automação
- Preços de notebooks
- Preços BYOML
- Preços das Funções do Azure
Quaisquer outros serviços que utilize podem ter custos associados.
Custos de retenção de dados e registros arquivados
Depois de habilitar o Microsoft Sentinel em um espaço de trabalho do Log Analytics, considere estas opções de configuração:
- Retenha todos os dados ingeridos no espaço de trabalho sem custos durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
- Especifique diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre retenção por tipo de dados.
- Habilite a retenção de longo prazo para seus dados e tenha acesso aos logs históricos habilitando os logs arquivados. O arquivamento de dados é uma camada de retenção de baixo custo para armazenamento de arquivamento. É cobrado com base no volume de dados armazenados e digitalizados. Saiba como configurar políticas de retenção e arquivamento de dados no Azure Monitor Logs. Os logs arquivados estão em visualização pública.
A retenção de 90 dias não se aplica a logs básicos. Se você quiser estender a retenção de dados para logs básicos além de oito dias, armazene esses dados em logs arquivados por até sete anos.
Outros custos de ingestão do MIE
CEF é um formato de eventos Syslog suportado no Microsoft Sentinel. Use o CEF para trazer informações de segurança valiosas de várias fontes para seu espaço de trabalho do Microsoft Sentinel. Os logs do CEF aterrissam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos CEF padrão atualizados.
Muitos dispositivos e fontes de dados suportam campos de registro além do esquema CEF padrão. Esses campos extras vão parar na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.
Custos que podem ser acumulados após a eliminação de recursos
A remoção do Microsoft Sentinel não remove o espaço de trabalho do Log Analytics no qual o Microsoft Sentinel foi implantado nem quaisquer cobranças separadas que o espaço de trabalho possa estar incorrendo.
Fontes de dados gratuitas
As seguintes fontes de dados são gratuitas com o Microsoft Sentinel:
- Registos de Atividade do Azure
- Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, atividades de administração do Exchange e Teams
- Alertas de segurança, incluindo alertas das seguintes fontes:
- Microsoft Defender XDR
- Microsoft Defender para a Cloud
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto Final
- Alertas das seguintes fontes:
- Microsoft Defender para a Cloud
- Microsoft Defender for Cloud Apps
Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados Microsoft Defender XDR, Defender for Cloud Apps, Microsoft Entra ID e Azure Information Protection (AIP) são pagos.
A tabela a seguir lista as fontes de dados no Microsoft Sentinel e no Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.
| Conector de dados Microsoft Sentinel | Tipo de dados livre |
|---|---|
| Registos de Atividades do Azure | AzureActivity |
| Proteção de ID do Microsoft Entra | Alerta de Segurança (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Equipas) | |
| Microsoft Defender para Cloud | SecurityAlert (Defender for Cloud) |
| Microsoft Defender para IoT | SecurityAlert (Defender para IoT) |
| Microsoft Defender XDR | Incidente de Segurança |
| Alerta de Segurança | |
| Microsoft Defender para Ponto de Extremidade | SecurityAlert (MDATP) |
| Microsoft Defender para identidade | SecurityAlert (AATP) |
| Aplicativos do Microsoft Defender para Nuvem | SecurityAlert (Defender para aplicativos na nuvem) |
Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.
Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.
Mais informações
- Monitorar custos para o Microsoft Sentinel
- Reduza os custos do Microsoft Sentinel
- Saiba como otimizar o seu investimento na nuvem com o Microsoft Cost Management.
- Saiba mais sobre como gerenciar custos com análise de custos.
- Saiba como evitar custos inesperados.
- Faça o curso de aprendizagem guiada em Gestão de Custos.
- Para obter mais dicas sobre como reduzir o volume de dados do Log Analytics, consulte Práticas recomendadas do Azure Monitor - Gerenciamento de custos.
Próximos passos
Neste artigo, você aprendeu como planejar custos e entender a cobrança do Microsoft Sentinel.