你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
规划 Microsoft Sentinel 部署时,通常要了解其定价和计费模式,以便优化成本。 Microsoft Sentinel 的安全分析数据存储在 Azure Monitor Log Analytics 工作区中。 计费基于 Microsoft Sentinel 中分析的数据量和 Log Analytics 工作区中存储的数据量。 两者的成本合并在一个简化的定价层中。 详细了解 简化的定价层 ,或详细了解 一般Microsoft Sentinel 定价 。
若要帮助估算Microsoft Sentinel 预期成本, 请联系安全销售专家 了解有关定价或请求报价的详细信息。
Microsoft Sentinel 的成本只是 Azure 帐单中每月成本的一部分。 尽管本文介绍了如何为 Microsoft Sentinel 计划成本并了解其计费,但你需要为 Azure 订阅使用的所有 Azure 服务和资源(包括合作伙伴服务)付费。
本文是 Microsoft Sentinel 的部署指南的一部分。
重要说明
Microsoft Sentinel 已在 Microsoft Defender 门户中推出正式版,没有 Microsoft Defender XDR 或 E5 许可证的客户也可以使用它。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性。
免费试用
在 Azure Monitor Log Analytics 工作区上启用 Microsoft Sentinel,每天最高可用 Analytics 日志计划免费引入 10GB 内容,持续 31 天。 在 31 天的试用期内,最多 10 GB/天的 Log Analytics 数据引入和 Microsoft Sentinel 分析费用将被免除。 此免费试用版存在每个 Azure 租户 20 个工作区的限制。
请参阅 Microsoft Sentinel 定价 页,了解有关超出这些限制的使用情况如何收费的信息。 与 自动化 和 自定义机器学习 相关的额外功能费用在免费试用期间仍适用,以及与 Microsoft Sentinel data lake 相关的任何费用。
在免费试用期间,在 Azure 门户的Microsoft Sentinel 的 “新闻和指南 > 免费试用版 ”选项卡上查找成本管理、培训等资源。 此选项卡还显示有关免费试用日期的详细信息,以及试用过期前还剩多少天。
了解 Microsoft Sentinel 的完整计费模型
Microsoft Sentinel 提供灵活、可预测的定价模型。 有关详细信息,请参阅 Microsoft Sentinel 定价页。 在经典定价层中,对于 2023 年 7 月之前的工作区,其 Log Analytics 工作区与 Microsoft Sentinel 分开收费。 有关相关的 Log Analytics 费用,请参阅 Azure Monitor Log Analytics 定价。
Microsoft Sentinel 在 Azure 基础结构上运行,部署新资源时,该基础结构会随之产生成本。 请务必了解,可能会有其他额外的基础结构成本产生。
Microsoft Sentinel 的收费方式
定价基于数据导入到的层级。 有关数据层级和计划的详细信息,请参阅 Microsoft Sentinel 中的数据层级。
分析层
可通过两种方法为分析层付费: 即用即付 层和 承诺层。
即用即付是默认模型,基于存储的实际数据量,并且可以选择超过 90 天的数据保留。 数据量以 GB(109 字节)为单位。
Log Analytics 和 Microsoft Sentinel 具有 承诺层 定价,以前称为容量预留。 与 即用即付 定价相比,这些定价层合并为简化的定价层,这些定价层更具可预测性,并提供大量节省成本。
承诺层 定价从每天 100 GB 开始。 超过承诺级别的任何使用量都按所选的承诺层级费率进行计费。 例如,如果承诺层级为每日 100 GB,则会按照 100 GB 的承诺数据量计费,对于每天超出的任何数据量 (GB),则按照该层级的有效折扣价格进行计费。 “有效的每 GB 价格”就是“Microsoft Sentinel 价格”除以层级的每日 GB 数量。 有关详细信息,请参阅 Microsoft Sentinel 定价。
随着数据量的增加,可随时增加承诺层级来优化成本。 只允许每 31 天降低一次承诺层级。 若要查看当前Microsoft Sentinel 定价层,请在 Microsoft Sentinel 中选择 “设置 ”,然后选择“ 定价 ”选项卡。当前定价层标记为 “当前”层。
若要设置和更改承诺层,请参阅 “设置或更改定价层”。 将 2023 年 7 月之前的任何工作区切换到简化的定价层体验,以统一计费计量。 或者继续使用经典定价层,其中 Log Analytics 定价与经典 Microsoft Sentinel 的经典定价是分开的。 有关详细信息,请参阅 简化的定价层。
数据湖层
若要详细了解Microsoft Sentinel 数据湖,请参阅 Microsoft Sentinel data lake。
数据湖层根据各种数据湖功能的使用情况产生费用。
- 对于保留设置为“仅数据湖层”的表中引入的所有数据,数据湖引入按 GB 收费。 当数据被引入到保留设置为同时包括分析层和数据湖层的表中时,不会产生数据湖引入费用。
- 对于保留设置为“仅数据湖层”的表中引入的数据,数据处理按 GB 收费。 它支持修订、拆分、筛选和规范化等转换。 当数据被引入到保留设置为同时包括分析层和数据湖层的表中时,不会产生数据处理费用。
- 对于分析层保留期结束后仍留在数据湖层中的任何数据,每月将按GB计算数据湖存储费用。 费用基于简单且统一的数据压缩率 6:1。 例如,如果保留 600 GB 的原始数据,则会将其计费为 100 GB 的压缩数据。
- 数据湖查询费用是按每 GB 未压缩数据计费的,适用于使用 Kusto 查询语言 (KQL) 查询或 KQL 作业进行分析的情况。
- 对于高级数据见解,将根据使用数据湖探索笔记本会话或运行数据湖探索笔记本作业时使用的计算小时数收费。 计算小时数是通过将为笔记本选择的池中的核心数与会话处于活动状态或作业运行的时间量相乘计算的。 数据湖笔记本会话和作业可在拥有四个、八个和16个核心的资源池中运行。
载入后,来自 Microsoft Sentinel 工作区的使用情况开始通过上述方式计费,不再按现有针对长期保留(以前称为存档)、搜索或辅助日志引入的方式计费。
重要说明
对于现有的 Microsoft Sentinel 客户,如果目前正在使用辅助日志引入、长期保留和搜索并支付相应费用,那么在加入到 Microsoft Sentinel 数据湖后,这些费用将分别转变为新的数据湖引入、数据湖存储和数据湖查询计量收费。 先前计量方式的定价不再沿用。 有关定价的详细信息,请参阅 Microsoft Sentinel 定价。
对于尚未加入 Microsoft Sentinel 数据湖且当前正在使用辅助日志或基本日志的客户,请参阅 “管理 Log Analytics 工作区中的数据保留 ”和 “Azure Monitor”定价 以获取相关信息。
简化的定价层
简化的定价层将 Microsoft Sentinel 的数据分析成本和 Log Analytics 的引入存储成本合并到单个定价层中。 以下屏幕截图显示了所有新工作区使用的简化定价层。
将配置有经典定价层的任何工作区切换到简化的定价层。 有关如何 切换到新定价的详细信息,请参阅 在简化的定价层中注册。
结合定价层,可以简化总体计费和成本管理体验。 这包括在定价页中的可视化,以及减少 Azure 计算器中的估算步骤。 为了进一步增加新的简化层的价值,当前的 Microsoft Defender for Servers P2 权益(每天向 Log Analytics 引入 500 MB 安全数据)已扩展至简化的定价层。 对于以此方式受到保护的每个虚拟机 (VM) 而言,此项更改大大增加了将合格数据引入 Microsoft Sentinel 的经济效益。 有关更多信息,请参阅 常见问题解答 - Microsoft Defender for Servers P2 提供的 500 MB 权益。
了解 Microsoft Sentinel 帐单
计费计量是服务的单个组件,显示在账单上,也显示在 Microsoft 成本管理中。 在计费周期结束时,将对每个计量标准的费用求和。 帐单或发票显示的费用是所有 Microsoft Sentinel 成本的一部分。 每个计量标准都有单独的一行项目。
若要查看 Azure 帐单,请在成本管理左侧导航中选择成本分析。 在“成本分析”屏幕上,从“所有视图”查找并选择“发票详细信息”。 若要了解查看计费信息所需的访问级别,请参阅 管理对 Azure 计费信息的访问权限。
下图所示的费用仅用作示例。 并非是为了反映实际成本。 从 2023 年 7 月 1 日起,旧定价层以 经典版为前缀。
Microsoft Sentinel 和 Log Analytics 费用将根据你选择的定价计划作为单独的行项出现在你的 Azure 帐单中。 简化的定价层表示为定价层的单个 sentinel 行项。 引入和分析按日计费。 如果工作区在任何一天超过其承诺层级使用量分配,Azure 帐单会显示一个行项,对应承诺层级及其关联的固定成本,还有一个单独的行项,对应超出承诺层级的成本(按相同的有效承诺层级费率计费)。
对于按简化的承诺层级费率计费,下表显示了 Microsoft Sentinel 成本在 Azure 帐单的“服务名称”和“计量”列中的显示方式。
| 成本说明 | 服务名称 | 计量 |
|---|---|---|
| Microsoft Sentinel 承诺层级 | Sentinel |
n GB 承诺层 |
| Microsoft Sentinel 承诺层级超额 | Sentinel |
分析 |
了解如何 查看和下载 Azure 帐单。
其他服务的成本和定价
Microsoft Sentinel 与许多其他 Azure 服务(包括 Azure 逻辑应用、Azure Notebooks)集成,并自带机器学习 (BYOML) 模型。 其中一些服务可能需要额外付费。 一些 Microsoft Sentinel 的数据连接器和解决方案使用 Azure Functions 进行数据引入,这也会产生单独的相关成本。
了解这些服务的定价:
你使用的其他任何服务都有关联的成本。
交互式和总数据保留成本
在 Log Analytics 工作区上启用 Microsoft Sentinel 后,请考虑以下配置选项:
- 在最初的 90 天内免费保留工作区中引入的所有数据。 超过 90 天的保留期按标准 Log Analytics 保留价格收费。
- 为各个数据类型指定不同的保留设置。 了解 数据类型的保留策略。
- 通过全量保留来延长数据的保留期,以便你可以访问历史日志。 Microsoft Sentinel 数据湖是一种低成本保留状态,用于保存数据以满足监管合规性等要求。 它根据存储和扫描的数据量收费。 使用数据管理>表调整分析和总保留时间,并在什么是 Microsoft Sentinel 数据湖?中了解详细信息。
- 将包含辅助安全数据的表切换到 Lake 层。 这样,便可以使用内置的查询功能以低价格存储大量低值日志。 使用 数据管理 > 表 将表从 Analytics 切换到 Lake 层。
其他 CEF 引入成本
Microsoft Sentinel 中支持以 CEF 作为 Syslog 事件格式。 使用 CEF 将各种源中有价值的安全信息引入 Microsoft Sentinel 工作区中。 CEF 日志位于 Microsoft Sentinel 中的 CommonSecurityLog 表中,其中包含所有标准的最新 CEF 字段。
许多设备和数据源都支持记录标准 CEF 架构以外的字段。 这些额外的字段记录在 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段,因为这些字段中的事件内容可能是变化的。
删除资源后可能会累计的成本
删除 Microsoft Sentinel 不会删除部署 Microsoft Sentinel 的 Log Analytics 工作区,也不会消除该工作区可能产生的任何单独费用。
免费数据源
Microsoft Sentinel 可免费使用以下数据源:
- Azure 活动日志
- Microsoft Sentinel 运行状况
- Office 365 审核日志,包括所有 SharePoint 活动、Exchange 管理员活动和 Teams
- 安全警报,包括以下来源发出的警报:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- 微软云应用防护 (Microsoft Defender for Cloud Apps)
- 用于终结点的 Microsoft Defender
- 以下来源发出的警报:
- Microsoft Defender for Cloud
- 微软云应用防护 (Microsoft Defender for Cloud Apps)
尽管警报是免费的,但是,某些 Microsoft Defender XDR、 Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID 和 Azure 信息保护 (AIP) 数据类型的原始日志将被计费。
下表列出了 Microsoft Sentinel 和 Log Analytics 中不收费的数据源。 有关详细信息,请参阅 排除的表。
| Microsoft Sentinel 数据连接器 | 免费数据类型 |
|---|---|
| Azure 活动 | AzureActivity |
| Microsoft Sentinel 运行状况监视1 | SentinelHealth |
| Microsoft Entra ID 安全 | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity(Exchange) | |
| OfficeActivity(Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Azure 安全中心) |
| Microsoft Defender for IoT | SecurityAlert (适用于 IoT 的 Azure 安全中心) |
| Microsoft Defender XDR | 安全事件 |
| 安全警报 | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender for Office 365(预览版) | SecurityAlert (OATP) |
1有关详细信息,请参阅 Microsoft Sentinel 的审核和运行状况监视。
对于同时包含免费和付费数据类型的数据连接器,请选择要启用的数据类型。
详细了解如何 连接数据源,包括免费数据源和付费数据源。
了解详细信息
- 监视 Microsoft Sentinel 的成本
- 降低Microsoft Sentinel 的成本
- 了解如何使用Microsoft成本管理优化云投资。
- 详细了解如何使用 成本分析管理成本。
- 了解如何 防止意外成本。
- 参加 成本管理 引导学习课程。
- 有关减少 Log Analytics 数据量的详细信息提示,请参阅 Azure Monitor 最佳做法 - 成本管理。
后续步骤
本文介绍了如何规划成本和了解 Microsoft Sentinel 的计费方式。