计划成本并了解Microsoft Sentinel定价和计费

若要估算预期的Microsoft Sentinel成本，请使用Microsoft Sentinel成本估算器工具，并直接与安全销售专家合作，获取自定义报价或其他指导。

Microsoft Sentinel成本只是Azure帐单中每月成本的一部分。 尽管本文介绍如何计划成本并了解Microsoft Sentinel的计费，但需要针对Azure订阅使用的所有Azure服务和资源（包括合作伙伴服务）付费。

本文是Microsoft Sentinel部署指南的一部分。

重要

2027 年 3 月 31 日之后，Azure 门户将不再支持Microsoft Sentinel，并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户，并且仅在 Defender 门户中使用Microsoft Sentinel。

如果仍在Azure 门户中使用Microsoft Sentinel，建议开始规划到 Defender 门户的转换，以确保平稳过渡，并充分利用 Microsoft Defender 提供的统一安全操作体验。

免费试用版

在 Azure Monitor Log Analytics 工作区上启用Microsoft Sentinel，使用 Analytics 日志计划引入的前 10 GB/天免费 31 天。 在 31 天的试用期内，Log Analytics 数据引入和Microsoft Sentinel分析费用均免除，最高限制为 10 GB/天。 此免费试用版受每个Azure租户 20 个工作区的限制。

请参阅Microsoft Sentinel定价页，了解有关超出这些限制的使用量如何收费的信息。 与自动化和自带机器学习的额外功能相关的费用在免费试用期间仍适用，任何Microsoft Sentinel data lake 相关费用均适用。

在免费试用期间，请在Azure 门户Microsoft Sentinel的“新闻 & 指南>”免费试用版“选项卡中查找成本管理、培训等资源。 此选项卡还显示有关免费试用日期的详细信息，以及试用期还剩多少天。

了解Microsoft Sentinel的完整计费模型

Microsoft Sentinel提供了灵活且可预测的定价模型。 有关详细信息，请参阅Microsoft Sentinel定价页。 早于 2023 年 7 月的工作区的 Log Analytics 工作区费用可能与经典定价层中的Microsoft Sentinel分开。 有关相关的 Log Analytics 费用，请参阅Azure监视 Log Analytics 定价。

Microsoft Sentinel在Azure基础结构上运行，这些基础结构会在部署新资源时产生成本。 请务必了解，可能会产生其他额外的基础结构成本。

Microsoft Sentinel的收费方式

定价基于数据引入到的层。 有关层和计划的详细信息，请参阅 Microsoft Sentinel 中的数据层。

分析层

分析层有两种付款方式： 即用即付 层和 承诺层。

• 即用即付 是默认模型，基于存储的实际数据量，并选择性地保留超过 90 天的数据。 数据量以 GB (10⁹ 字节) 度量。

• Log Analytics 和Microsoft Sentinel具有承诺层定价，以前称为容量预留。 与 即用即付 定价相比，这些定价层合并为简化的定价层，这些定价层更具可预测性，并节省大量成本。

  承诺层 定价从每天 100 GB 开始。 超出承诺级别的任何使用量均按所选的承诺层费率计费。 例如， 每天 100 GB 的承诺层将向你收取承诺的 100-GB 数据量的费用，以及该层的折扣有效费率的任何额外 GB/天。 每 GB 有效价格只是Microsoft Sentinel价格除以每日层 GB 数量。 有关详细信息，请参阅Microsoft Sentinel定价。

  随时增加承诺层，以随着数据量的增加优化成本。 仅允许每 31 天降低一次承诺层。 若要查看当前Microsoft Sentinel定价层，请在Microsoft Sentinel中选择“设置”，然后选择“定价”选项卡。当前定价层标记为“当前层”。

  若要设置和更改承诺层，请参阅 设置或更改定价层。 将 2023 年 7 月以前的任何工作区切换到简化的定价层体验，以统一计费计量。 或者，继续使用将 Log Analytics 定价与经典Microsoft Sentinel经典定价分开的经典定价层。

Data Lake 层

若要详细了解Microsoft Sentinel数据湖，请参阅Microsoft Sentinel数据湖。

数据湖层根据使用各种数据湖功能产生费用。

• 对于引入到表中且保留期设置为数据湖层的所有数据，数据湖引入按 GB 收费。 将数据引入到保留期设置为同时包含分析和数据湖层的表时，不会收取 Data Lake 引入费用。
• 对于引入到表中的数据，数据处理按 GB 收费，且保留期仅设置为 Data Lake 层。 它支持编辑、拆分、筛选和规范化等转换。 将数据引入到保留期设置为包括分析和数据湖层的表时，数据处理费用不适用。
• 对于分析层 保留期结束后保留在数据湖层中的任何数据，每月按 GB 收取 Data Lake 存储费用。 费用基于简单统一的数据压缩率 6：1。 例如，如果保留 600 GB 的原始数据，则按 100 GB 压缩数据计费。
• 在笔记本会话中使用、运行笔记本作业或生成自定义图形的节点和边缘时，按计算小时数收取 Data Lake 查询费用。 计算小时数通过将为笔记本选择的池中的核心数乘以会话处于活动状态或作业运行的时间量来计算。 Data Lake 笔记本会话和作业在 12、32 和 80 个 vCore 池中可用。

载入后，Microsoft Sentinel工作区中的使用量开始通过前面所述的计量进行计费，而不是通过以前称为存档) 、搜索或辅助日志引入计量的现有长期保留 (计费。

Microsoft Sentinel图

Defender 和 Purview 门户中的嵌入图

Microsoft Defender门户中的搜寻图和爆炸半径可视化效果，以及 Microsoft Purview 门户中的预览体验成员风险管理和数据安全调查，不会产生任何计费或消耗费用。 若要详细了解由 Sentinel 提供支持的 Microsoft Purview 和 Defender 图形，请参阅 Microsoft Sentinel 图。

通过 MCP 图形工具集合访问 Defender 和 Purview 图形会产生额外的费用。

自定义图形

Sentinel自定义图形计费基于消耗，图形操作按计算小时收费。 若要详细了解自定义图形Microsoft Sentinel，请参阅自定义图形。

以下自定义图形操作按计算小时在图形计量器下计费：

• 使用 Visual Studio Code 中的笔记本创建图形。

• 使用 Visual Studio Code 中的笔记本查询图形。

• 通过 Defender 门户使用Sentinel图形体验查询图形。

• 使用图形查询 API 查询图形。

• 使用 Sentinel MCP 图形工具集合查询图形。

图形费用

图形费用按核心小时数乘以执行时间乘以所选 SKU 中的 vCore 数乘以Sentinel图形计量价格计算得出。 有一个图形 SKU 选项，它使用 49 个 vCore 进行图形生成操作，使用 6 个 vCore 进行图形查询，查询执行时间最短为 1 分钟。

例如，当你运行笔记本作业一小时并使用图形 API 生成一个需要五分钟的图形时，图形成本的计算方式如下：

cost = 49 × (Price per vCore hour) × (5/60)

同样，如果图形查询需要一分钟才能完成，则成本确定为：

cost = 6 × (Price per vCore hour) × (1/60)

用于数据转换以生成图形节点和边缘的任何笔记本/Spark 计算和 Data Lake 存储都根据现有Sentinel data Lake 计量 (Data Lake storage 和 Advanced Data Insights) 单独计费。

Sentinel模型上下文协议 (MCP) 服务器

SENTINEL MCP 服务器是向 AI 代理公开Sentinel平台功能的接口层。 使用 MCP 服务器本身无需额外付费。 MCP 工具使用基础Sentinel平台服务，例如数据湖查询或图形操作，这些服务根据其各自的计量计费。 此外，当需要 AI 推理执行时，某些工具（如实体分析器）可能会使用 安全计算单元 (SCU) 。 客户只需为其使用的基础平台服务和计算付费。

Microsoft Sentinel MCP data Lake 工具

若要了解有关 Data Lake 工具的详细信息，请参阅 Microsoft Sentinel MCP 服务器中的数据浏览工具集合。

安装和配置Microsoft Sentinel的统一 MCP 服务器不收费。 但是，使用工具通过 Kusto 查询语言 (KQL) 数据湖Microsoft Sentinel查询来搜索和检索数据会调用数据湖查询计量。 若要了解详细信息，请参阅Microsoft Sentinel data lake 的定价。

Microsoft Sentinel MCP 实体分析器

若要详细了解实体分析器，请参阅 实体分析器。

客户需要支付安全计算单元 (SCU 的费用，) 用于生成基于流行情况、威胁情报和关系的实体风险分析的 AI 推理。

现有Security Copilot权利适用。 超出Microsoft 365 E5权利的任何使用量都会产生额外的费用。 仅当使用量超过预配量时，才会对 SCU 超额计费，并且仅对使用的 SCU 收费。 有关详细信息，请参阅Sentinel MCP 计费和 SCU 智能 Microsoft Security Copilot 副驾驶®入门。

此外，使用实体分析器时，客户需要支付针对Microsoft Sentinel数据湖执行的 KQL 查询的费用。

Microsoft Sentinel MCP 会审工具

若要了解有关会审工具的详细信息，请参阅 会审工具集合。

安装、配置和使用会审工具无需任何费用，前提是你已加入所需的产品和服务。 在Microsoft Defender门户中设置Microsoft Defender、Microsoft Defender for Endpoint或Microsoft Sentinel时，你可以免费获得会审访问权限。

了解Microsoft Sentinel帐单

计费计量是服务的各个组件，显示在帐单上，并显示在Microsoft成本管理中。 在计费周期结束时，将汇总每个计量的费用。 帐单或发票显示所有Microsoft Sentinel成本的科目。 每个计量都有一个单独的行项。

若要查看Azure帐单，请在“成本管理”的左侧导航栏中选择“成本分析”。 在“成本分析”屏幕上，从“所有”视图中查找并选择“发票详细信息”。 若要了解查看计费信息所需的访问级别，请参阅管理对Azure计费信息的访问权限。

下图中显示的成本仅用于示例目的。 它们不用于反映实际成本。 从 2023 年 7 月 1 日起，旧版定价层的前缀为 “经典”。

Microsoft Sentinel和 Log Analytics 费用可能会根据所选定价计划在Azure帐单上显示为单独的明细项目。 简化的定价层表示为定价层的单个 sentinel 行项。 引入和分析每天计费。 如果工作区在任何给定日期超过其承诺层使用量分配，Azure帐单会显示承诺层的一个行项及其关联的固定成本，以及超出承诺层的成本的单独行项，按相同的有效承诺层费率计费。

简化

以下选项卡显示Microsoft Sentinel成本如何显示在Azure帐单的“服务名称”和“计量”列中，具体取决于简化的定价层。

经典

以下选项卡显示Microsoft Sentinel和 Log Analytics 成本如何显示在Azure帐单的“服务名称”和“计量”列中，具体取决于经典定价层。

承诺层

如果按简化的承诺层费率计费，此表显示Microsoft Sentinel成本如何显示在Azure帐单的“服务名称”和“计量”列中。

成本说明	服务名称	米
Microsoft Sentinel承诺层	Sentinel	n GB 承诺层
Microsoft Sentinel承诺层超额	Sentinel	分析

承诺层

如果按经典承诺层费率计费，此表显示Microsoft Sentinel和 Log Analytics 成本如何显示在Azure帐单的“服务名称”和“计量”列中。

成本说明	服务名称	米
Microsoft Sentinel承诺层	Sentinel	经典 n GB 承诺层
Log Analytics 承诺层	Azure Monitor	n GB 承诺层
Microsoft Sentinel承诺层超额	Sentinel	经典分析
“承诺”层上的 Log Analytics	Log Analytics	数据引入

即用即付

如果按简化的即用即付率计费，此表显示Microsoft Sentinel成本如何显示在Azure帐单的“服务名称”和“计量”列中。

成本说明	服务名称	米
即用即付	Sentinel	即用即付分析
基本日志数据分析	Sentinel	基本日志分析
辅助日志数据分析	Sentinel	辅助日志分析

即用即付

如果按经典即用即付费率计费，此表显示Microsoft Sentinel和 Log Analytics 成本如何显示在Azure帐单的“服务名称”和“计量”列中。

成本说明	服务名称	米
即用即付	Sentinel	经典即用即付分析
即用即付	Log Analytics	即用即付数据引入
基本日志数据分析	Sentinel	经典基本日志分析
基本日志数据引入	Azure Monitor	基本日志数据引入
辅助日志数据分析	Sentinel	经典辅助日志分析
辅助日志数据引入	Azure Monitor	基本辅助数据引入

免费数据计量

下表显示了当计费处于简化定价层时，Microsoft Sentinel和 Log Analytics 免费成本如何显示在免费数据服务的Azure帐单的“服务名称”和“计量”列中。 有关详细信息，请参阅 查看数据分配权益。

成本说明	服务名称	米
Microsoft Sentinel免费试用 - Sentinel分析	Sentinel	免费试用分析
Microsoft Defender XDR权益 - 数据分析	Sentinel	免费权益 - M365 Defender 分析

免费数据计量

此表显示当计费为经典定价层时，Microsoft Sentinel和 Log Analytics 免费费用如何显示在免费数据服务的Azure帐单的“服务名称”和“计量”列中。 有关详细信息，请参阅 查看数据分配权益。

成本说明	服务名称	米
Microsoft Sentinel免费试用 - Log Analytics 数据引入	Azure Monitor	免费权益 - Az Sentinel 试用版数据引入
Microsoft Sentinel免费试用 - Sentinel分析	Sentinel	免费试用分析
Microsoft Defender XDR权益 - 数据引入	Azure Monitor	免费权益 - M365 Defender 数据引入
Microsoft Defender XDR权益 - 数据分析	Sentinel	免费权益 - M365 Defender 分析

了解如何查看和下载Azure帐单。

其他服务的成本和定价

Microsoft Sentinel与许多其他Azure服务（包括Azure逻辑应用、Azure笔记本）集成，并将自己的机器学习 (BYOML) 模型。 其中一些服务可能会产生额外的费用。 Microsoft Sentinel的一些数据连接器和解决方案使用Azure Functions进行数据引入，这也有单独的关联成本。

了解以下服务的定价：

• 自动化逻辑应用定价
• 笔记本定价
• BYOML 定价
• Azure Functions定价

使用的任何其他服务可能具有相关成本。

交互式和总数据保留成本

在 Log Analytics 工作区上启用Microsoft Sentinel后，请考虑以下配置选项：

• 在前 90 天内免费保留引入工作区的所有数据。 超过 90 天的保留期按标准 Log Analytics 保留价格收费。
• 为单个数据类型指定不同的保留设置。 了解 按数据类型的保留期。
• 使用总保留期延长数据的保留期，以便你有权访问历史日志。 Microsoft Sentinel数据湖是一种低成本的保留状态，用于保留法规遵从性等数据。 它根据存储和扫描的数据量收费。 使用数据管理>表调整分析和总保留期，并在什么是Microsoft Sentinel数据湖中了解详细信息
• 将包含辅助安全数据的表切换到 Lake 层。 这使你能够以较低的价格存储高容量、低价值的日志，并内置了查询功能。 使用 数据管理 > 表 将表从 Analytics 切换到 Lake 层。

其他 CEF 引入成本

CEF 是 Microsoft Sentinel 中支持的 Syslog 事件格式。 使用 CEF 将来自各种源的有价值的安全信息引入Microsoft Sentinel工作区。 CEF 日志位于 Microsoft Sentinel 的 CommonSecurityLog 表中，其中包括所有标准的最新 CEF 字段。

许多设备和数据源支持超出标准 CEF 架构的日志记录字段。 这些额外字段位于 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段，因为这些字段中的事件内容可以是可变的。

资源删除后可能产生的成本

删除Microsoft Sentinel不会删除部署Microsoft Sentinel的 Log Analytics 工作区，也不会删除工作区可能产生的任何单独费用。

免费数据源

以下数据源是免费的，Microsoft Sentinel：

• Azure活动日志
• Microsoft Sentinel运行状况
• Office 365审核日志，包括所有 SharePoint 活动、Exchange 管理员活动和 Teams
• 安全警报，包括来自以下源的警报：
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
• 来自以下源的警报：
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

尽管警报是免费的，但某些Microsoft Defender XDR、Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID 和 Azure 信息保护 (AIP) 数据类型的原始日志会付费。

下表列出了 Microsoft Sentinel 和 Log Analytics 中不收费的数据源。 有关详细信息，请参阅 排除的表。

Microsoft Sentinel数据连接器	免费数据类型
Azure活动	AzureActivity
Microsoft Sentinel 1 的运行状况监视	SentinelHealth
Microsoft Entra ID保护	SecurityAlert (IPC)
Microsoft 365	OfficeActivity (SharePoint)
	OfficeActivity (Exchange)
	OfficeActivity (Teams)
Microsoft Defender for Cloud	SecurityAlert (Azure 安全中心)
适用于 IoT 的Microsoft Defender	适用于 IoT) 的 SecurityAlert (Azure 安全中心
Microsoft Defender XDR	SecurityIncident
	SecurityAlert
Microsoft Defender for Endpoint	SecurityAlert (MDATP)
Microsoft Defender for Identity	SecurityAlert (AATP)
Microsoft Defender for Cloud Apps	SecurityAlert (MCAS)
Office 365 (预览版) Microsoft Defender	SecurityAlert (OATP)

¹有关详细信息，请参阅Microsoft Sentinel的审核和运行状况监视。

对于同时包含免费和付费数据类型的数据连接器，选择要启用的数据类型。

详细了解如何 连接数据源，包括免费数据源和付费数据源。

了解详细信息

• 监视Microsoft Sentinel的成本
• 降低Microsoft Sentinel的成本
• 了解如何使用 Microsoft 成本管理优化云投资。
• 详细了解如何通过 成本分析管理成本。
• 了解如何 防止意外成本。
• 参加 成本管理 引导学习课程。
• 有关减少 Log Analytics 数据量的更多提示，请参阅Azure监视最佳做法 - 成本管理。

后续步骤

部署Microsoft Sentinel