Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Om du vill beräkna dina förväntade Microsoft Sentinel kostnader använder du verktyget Microsoft Sentinel kostnadsuppskattning och arbetar direkt med en säkerhetsförsäljare för en anpassad offert eller ytterligare vägledning.
Kostnader för Microsoft Sentinel är bara en del av månadskostnaderna i din Azure faktura. Även om den här artikeln beskriver hur du planerar kostnader och förstår faktureringen för Microsoft Sentinel debiteras du för alla Azure tjänster och resurser som din Azure prenumeration använder, inklusive partnertjänster.
Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Kostnadsfri utvärderingsversion
Aktivera Microsoft Sentinel på en Azure Övervaka Log Analytics-arbetsyta och de första 10 GB/dag som matas in med hjälp av analyticsloggplanen är kostnadsfri i 31 dagar. Kostnaden för både Log Analytics-datainmatning och Microsoft Sentinel analysavgifter upp till gränsen på 10 GB/dag undantas under 31-dagars utvärderingsperioden. Den här kostnadsfria utvärderingsversionen har en gräns på 20 arbetsytor per Azure klientorganisation.
Mer information om hur användning utöver dessa gränser debiteras finns på sidan Microsoft Sentinel prissättning. Avgifter som rör extra funktioner för automatisering och bring your own machine learning gäller fortfarande under den kostnadsfria utvärderingsversionen och eventuella Microsoft Sentinel datasjörelaterade avgifter.
Under den kostnadsfria utvärderingsversionen hittar du resurser för kostnadshantering, utbildning med mera på fliken Nyheter & guider > Kostnadsfri utvärderingsversion i Microsoft Sentinel på Azure Portal. På den här fliken visas även information om datumen för den kostnadsfria utvärderingsversionen och hur många dagar som återstår tills utvärderingsversionen upphör att gälla.
Förstå den fullständiga faktureringsmodellen för Microsoft Sentinel
Microsoft Sentinel erbjuder en flexibel och förutsägbar prismodell. Mer information finns på sidan Microsoft Sentinel prissättning. Arbetsytor som är äldre än juli 2023 kan ha avgifter för Log Analytics-arbetsytor separat från Microsoft Sentinel på en klassisk prisnivå. Relaterade Log Analytics-avgifter finns i Azure Övervaka Log Analytics-priser.
Microsoft Sentinel körs på Azure infrastruktur som ackumuleras kostnader när du distribuerar nya resurser. Det är viktigt att förstå att det kan finnas andra extra infrastrukturkostnader som kan uppstå.
Hur du debiteras för Microsoft Sentinel
Prissättningen baseras på den nivå som data matas in i. Mer information om nivåer och planer finns i Datanivåer i Microsoft Sentinel.
Analysnivå
Det finns två sätt att betala för analysnivån: betala per användning och åtagandenivåer.
Betala per användning är standardmodellen, baserat på den faktiska datavolymen som lagras och eventuellt för datakvarhållning längre än 90 dagar. Datavolymen mäts i GB (109 byte).
Log Analytics och Microsoft Sentinel har priser på åtagandenivå, tidigare kallade kapacitetsreservationer. Dessa prisnivåer kombineras till förenklade prisnivåer som är mer förutsägbara och erbjuder betydande besparingar jämfört med betala per användning-priser .
Priserna för åtagandenivå börjar på 100 GB per dag. All användning över åtagandenivån debiteras enligt den åtagandenivå som du har valt. Till exempel debiterar en åtagandenivå på 100 GB per dag dig för den incheckade datavolymen på 100 GB, plus eventuella extra GB/dag till det rabatterade effektiva priset för den nivån. Det effektiva priset per GB är helt enkelt Microsoft Sentinel pris dividerat med kvantiteten nivå GB per dag. Mer information finns i Microsoft Sentinel prissättning.
Öka åtagandenivån när som helst för att optimera kostnaderna när datavolymen ökar. Du kan bara sänka åtagandenivån var 31:e dag. Om du vill se din aktuella prisnivå för Microsoft Sentinel väljer du Inställningar i Microsoft Sentinel och väljer sedan fliken Priser. Din aktuella prisnivå är markerad som Aktuell nivå.
Information om hur du anger och ändrar din åtagandenivå finns i Ange eller ändra prisnivå. Växla alla arbetsytor som är äldre än juli 2023 till den förenklade prisnivåupplevelsen för att förena faktureringsmätare. Eller fortsätt att använda de klassiska prisnivåerna som separerar Log Analytics-prissättningen från den klassiska Microsoft Sentinel klassiska prissättningen.
Datasjönivå
Mer information om Microsoft Sentinel datasjö finns i Microsoft Sentinel datasjö.
Data lake-nivån debiteras baserat på användningen av olika datasjöfunktioner.
- Datasjöinmatning debiteras per GB för alla data som matas in i tabeller med kvarhållning som endast har angetts till datasjönivå. Avgifter för datasjöinmatning tillämpas inte när data matas in i tabeller med kvarhållningsuppsättning som omfattar både analys- och datasjönivåer.
- Databearbetning debiteras per GB för data som matas in i tabeller med kvarhållning som endast har angetts till datasjönivå. Den stöder transformeringar som redigering, delning, filtrering och normalisering. Avgifter för databehandling tillämpas inte när data matas in i tabeller med kvarhållningsuppsättning som omfattar både analys- och datasjönivåer.
- Data lake storage-avgifter tillämpas per GB per månad för alla data som finns kvar på datasjönivån när kvarhållningsperioden för analysnivån upphör. Avgifterna baseras på en enkel och enhetlig datakomprimeringshastighet på 6:1. Om du till exempel behåller 600 GB rådata debiteras de som 100 GB komprimerade data.
- Data lake query-avgifter tillämpas per beräkningstimmes som används när du använder notebook-sessioner, kör notebook-jobb eller skapar noder och kanter för anpassade grafer. Beräkningstimmar beräknas genom att multiplicera antalet kärnor i poolen som valts för notebook-filen med den tid en session var aktiv eller ett jobb kördes. Data Lake Notebook-sessioner och -jobb är tillgängliga i pooler med 12, 32 och 80 virtuella kärnor.
När användningen har registrerats börjar användningen från Microsoft Sentinel arbetsytor faktureras via de tidigare beskrivna mätarna i stället för befintlig långsiktig kvarhållning (kallades tidigare Arkiv), sök- eller extra logginmatningsmätare.
Microsoft Sentinel graf
Inbäddade grafer i Defender- och Purview-portaler
Visualiseringar av jaktdiagram och explosionsradie i Microsoft Defender-portalen, tillsammans med hantering av insiderrisk och Datasäkerhetsundersökningar i Microsoft Purview-portalen, medför inga debiterings- eller förbrukningsavgifter. Mer information om Microsoft Purview- och Defender-grafer som drivs av Sentinel finns i Microsoft Sentinel diagram.
Åtkomst till Defender- och Purview-grafer via MCP-diagramverktygets samling resulterar i ytterligare avgifter.
Anpassade grafer
Sentinel anpassad graffakturering är förbrukningsbaserad, där grafåtgärder debiteras per beräkningstimmes. Mer information om Microsoft Sentinel anpassade grafer finns i Anpassade grafer.
Följande anpassade grafåtgärder faktureras per beräkningstimm under grafmätaren:
Skapa en graf med notebook-filer i Visual Studio Code.
Köra frågor mot en graf med hjälp av notebook-filer i Visual Studio Code.
Köra frågor mot en graf med hjälp av Sentinel diagram via Defender-portalen.
Köra frågor mot en graf med graph query-API:er.
Köra frågor mot en graf med hjälp av Sentinel MCP-diagramverktygssamling.
Grafavgifter
Grafavgifter beräknas som körningstid för kärntimmar multiplicerat med antalet virtuella kärnor i den valda SKU:n gånger det Sentinel grafmätpriset. Det finns ett SKU-alternativ med en enda graf, som använder 49 virtuella kärnor för graph build-åtgärder och 6 virtuella kärnor för graffrågor, med en minsta körningstid för frågor på en minut.
När du till exempel kör ett Notebook-jobb i en timme och använder graf-API:er för att skapa ett diagram som tar fem minuter beräknas grafkostnaden som:
cost = 49 × (Price per vCore hour) × (5/60)
Om graffrågorna tar en minut att slutföra bestäms kostnaden på samma sätt som:
cost = 6 × (Price per vCore hour) × (1/60)
Alla notebook-/Spark-beräknings- och Data Lake-lagring som används för datatransformeringar för att skapa noder och kanter för grafen debiteras oberoende av befintliga Sentinel datasjömätare (Data Lake Storage och Advanced Data Insights).
Sentinel MCP-server (Model Context Protocol)
Sentinel MCP-server är ett gränssnittslager som exponerar Sentinel plattformsfunktioner för AI-agenter. Det finns ingen extra kostnad för att använda själva MCP-servern. MCP-verktyg använder underliggande Sentinel plattformstjänster, till exempel datasjöfrågor eller grafåtgärder, som faktureras baserat på deras respektive mätare. Dessutom kan vissa verktyg, till exempel entitetsanalys, använda SKU:er (Security Compute Units) när AI-resonemangskörning krävs. Kunder debiteras endast för de underliggande plattformstjänster och beräkning som de använder.
Microsoft Sentinel MCP-datasjöverktyg
Mer information om datasjöverktyg finns i Insamling av datautforskningsverktyg i Microsoft Sentinel MCP-server.
Det kostar ingenting att installera och konfigurera Microsoft Sentinel enhetliga MCP-server. Men om du använder verktygen för att söka efter och hämta data med hjälp av KQL-frågor (Kusto-frågespråk) från Microsoft Sentinel anropas datasjöfrågemätaren. Mer information finns i Microsoft Sentinel datasjöns priser.
Microsoft Sentinel MCP-entitetsanalys
Mer information om entitetsanalys finns i Entitetsanalys.
Kunder debiteras för de SKU:er (Security Compute Units) som används för AI-resonemang som genererar entitetsriskanalysen, som baseras på prevalens, hotinformation och relationer.
Befintliga Security Copilot rättigheter gäller. All användning som överskrider din Microsoft 365 E5 berättigande medför ytterligare avgifter. SCU-överförbrukning debiteras endast när användningen överskrider ditt etablerade belopp och kunder debiteras endast för de förbrukade SCU:erna. Mer information finns i Sentinel MCP-fakturering och Kom igång med Microsoft Security Copilot för SCUs-information.
När du använder entitetsanalys debiteras dessutom kunder för KQL-frågor som körs mot Microsoft Sentinel datasjö.
Microsoft Sentinel MCP-sorteringsverktyg
Mer information om sorteringsverktyget finns i Triage tool collection (Sorteringsverktygssamling).
Installation, konfiguration och användning av triage-verktyget medför ingen kostnad, förutsatt att du är registrerad för de produkter och tjänster som krävs. Du kan få åtkomst till sortering utan extra kostnad när Microsoft Defender, Microsoft Defender för Endpoint eller Microsoft Sentinel har konfigurerats i Microsoft Defender-portalen.
Förstå din Microsoft Sentinel faktura
Fakturerbara mätare är de enskilda komponenterna i din tjänst som visas på din faktura och som visas i Microsoft Cost Management. I slutet av faktureringsperioden summeras avgifterna för varje mätare. Din faktura visar ett avsnitt för alla Microsoft Sentinel kostnader. Det finns ett separat radobjekt för varje mätare.
Om du vill se din Azure faktura väljer du Kostnadsanalys i det vänstra navigeringsfältet i Cost Management. På skärmen Kostnadsanalys letar du upp och väljer fakturainformation från Alla vyer. Information om vilken åtkomstnivå som krävs för att visa faktureringsinformation finns i Hantera åtkomst till faktureringsinformation för Azure.
Kostnaderna som visas i följande bild är endast i exempelsyfte. De är inte avsedda att återspegla faktiska kostnader. Från och med 1 juli 2023 prefixet klassiska äldre prisnivåer.
Microsoft Sentinel och Log Analytics-avgifter kan visas på din Azure faktura som separata radobjekt baserat på din valda prisplan. Förenklade prisnivåer representeras som ett enda sentinel radobjekt för prisnivån. Inmatning och analys faktureras dagligen. Om din arbetsyta överskrider användningsallokeringen för åtagandenivå under en viss dag, visar Azure fakturan ett radobjekt för åtagandenivån med dess associerade fasta kostnad och ett separat radobjekt för kostnaden utöver åtagandenivån, fakturerat till samma effektiva åtagandenivå.
Följande flikar visar hur Microsoft Sentinel kostnader visas i kolumnerna Tjänstnamn och Mätar för din Azure faktura beroende på din förenklade prisnivå.
Om du debiteras med den förenklade åtagandenivån visar den här tabellen hur Microsoft Sentinel kostnader visas i kolumnerna Tjänstnamn och Mätar för din Azure faktura.
| Kostnadsbeskrivning | Tjänstnamn | Mätare |
|---|---|---|
| Microsoft Sentinel åtagandenivå | Sentinel |
n GB-åtagandenivå |
| Microsoft Sentinel överförbrukning av åtagandenivå | Sentinel |
Analys |
Lär dig hur du visar och laddar ned din Azure faktura.
Kostnader och priser för andra tjänster
Microsoft Sentinel integreras med många andra Azure tjänster, inklusive Azure Logic Apps, Azure Notebooks och BYOML-modeller (Bring Your Own Machine Learning). Vissa av dessa tjänster kan ha extra avgifter. Vissa av Microsoft Sentinel dataanslutningar och lösningar använder Azure Functions för datainmatning, som också har en separat associerad kostnad.
Läs mer om priser för dessa tjänster:
- Prissättning för Automation-Logic Apps
- Priser för notebook-filer
- PRISER FÖR BYOML
- Azure Functions prissättning
Andra tjänster som du använder kan ha associerade kostnader.
Interaktiva och totala kostnader för datakvarhållning
När du har aktiverat Microsoft Sentinel på en Log Analytics-arbetsyta bör du överväga följande konfigurationsalternativ:
- Behåll alla data som matas in på arbetsytan utan kostnad under de första 90 dagarna. Kvarhållning över 90 dagar debiteras enligt standardpriserna för Log Analytics-kvarhållning.
- Ange olika kvarhållningsinställningar för enskilda datatyper. Lär dig mer om kvarhållning efter datatyp.
- Utöka kvarhållningen av data med total kvarhållning så att du har åtkomst till historiska loggar. Den Microsoft Sentinel datasjön är ett lågkostnadsbevarande tillstånd för bevarande av data för till exempel regelefterlevnad. Den debiteras baserat på mängden data som lagras och genomsöks. Använd datahanteringstabeller > för att justera kvarhållningsperioden för analys och total och läs mer i Vad är Microsoft Sentinel datasjö?
- Växla tabeller som innehåller sekundära säkerhetsdata till Lake-nivån. På så sätt kan du lagra loggar med höga volymer med låga värden till ett lågt pris, med inbyggda frågefunktioner. Använd Datahanteringstabeller > för att växla tabeller från Analytics till Lake-nivån.
Andra cef-inmatningskostnader
CEF är ett Syslog-händelseformat som stöds i Microsoft Sentinel. Använd CEF för att hämta värdefull säkerhetsinformation från olika källor till din Microsoft Sentinel arbetsyta. CEF-loggarna hamnar i tabellen CommonSecurityLog i Microsoft Sentinel, som innehåller alla uppdaterade CEF-standardfält.
Många enheter och datakällor stöder loggningsfält utöver CEF-standardschemat. Dessa extra fält hamnar i tabellen AdditionalExtensions. Dessa fält kan ha högre inmatningsvolymer än standard-CEF-fälten, eftersom händelseinnehållet i dessa fält kan vara variabelt.
Kostnader som kan uppstå efter resursborttagning
Om du tar bort Microsoft Sentinel tas inte log analytics-arbetsytan Microsoft Sentinel distribuerades på bort, eller så kan det tillkomma separata avgifter för arbetsytan.
Kostnadsfria datakällor
Följande datakällor är kostnadsfria med Microsoft Sentinel:
- Azure aktivitetsloggar
- Microsoft Sentinel Hälsa
- Office 365 granskningsloggar, inklusive all SharePoint-aktivitet, Exchange-administratörsaktivitet och Teams
- Säkerhetsaviseringar, inklusive aviseringar från följande källor:
- Microsoft Defender XDR
- Microsoft Defender for Molnet
- Microsoft Defender för Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender för Endpoint
- Aviseringar från följande källor:
- Microsoft Defender for Molnet
- Microsoft Defender for Cloud Apps
Även om aviseringar är kostnadsfria betalas rådataloggarna för vissa Microsoft Defender XDR, Defender för Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID och Azure Information Protection(AIP).
I följande tabell visas de datakällor i Microsoft Sentinel och Log Analytics som inte debiteras. Mer information finns i exkluderade tabeller.
| Microsoft Sentinel dataanslutning | Typ av kostnadsfria data |
|---|---|
| Azure aktivitet | AzureActivity |
| Hälsoövervakning för Microsoft Sentinel1 | SentinelHealth |
| Microsoft Entra ID Skydd | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Molnet | SecurityAlert (Azure Security Center) |
| Microsoft Defender för IoT | SecurityAlert (Azure Security Center för IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender för Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender för Office 365 (förhandsversion) | SecurityAlert (OATP) |
1Mer information finns i Granskning och hälsoövervakning för Microsoft Sentinel.
För dataanslutningar som innehåller både kostnadsfria och betalda datatyper väljer du vilka datatyper du vill aktivera.
Läs mer om hur du ansluter datakällor, inklusive kostnadsfria och betalda datakällor.
Mer information
- Övervaka kostnader för Microsoft Sentinel
- Minska kostnaderna för Microsoft Sentinel
- Lär dig hur du optimerar din molninvestering med Microsoft Cost Management.
- Läs mer om att hantera kostnader med kostnadsanalys.
- Lär dig hur du förhindrar oväntade kostnader.
- Gå den guidade utbildningskursen för Cost Management .
- Fler tips om hur du minskar Log Analytics-datavolymen finns i Azure Övervaka metodtips – Kostnadshantering.