你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

规划成本并了解 Microsoft Sentinel 定价和计费

规划 Microsoft Sentinel 部署时,通常要了解其定价和计费模式,以便优化成本。 Microsoft Sentinel 的安全分析数据存储在 Azure Monitor Log Analytics 工作区中。 计费基于 Microsoft Sentinel 中分析的数据量,以及 Azure Monitor Log Analytics 工作区中存储的数据量。 两者的成本合并在一个简化的定价层中。 详细了解简化定价层或详细了解通用的 Microsoft Sentinel 定价

在为 Microsoft Sentinel 添加任何资源之前,请使用 Azure 定价计算器来帮助估算成本。

Microsoft Sentinel 的成本只是 Azure 帐单中每月成本的一部分。 尽管本文介绍了如何为 Microsoft Sentinel 计划成本并了解其计费,但你需要为 Azure 订阅使用的所有 Azure 服务和资源(包括合作伙伴服务)付费。

本文是 Microsoft Sentinel 部署指南的一部分。

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

免费试用

在 Azure Monitor Log Analytics 工作区上启用 Microsoft Sentinel,每天前 10GB 免费,持续 31 天。 在 31 天试用期内,Log Analytics 数据引入和 Microsoft Sentinel 分析合计可每天免除 10GB 的费用成本。 此免费试用版存在每个 Azure 租户 20 个工作区的限制。

超出这些限制的使用量将按照 Microsoft Sentinel 定价页上列出的定价收费。 在免费试用期间,与用于自动化自带机器学习的额外功能相关的费用仍然适用。

免费试用期间,可以在 Microsoft Sentinel 的“新闻和指南”>“免费试用版”选项卡上查找成本管理、培训等项目的资源。 此选项卡还显示有关免费试用日期的详细信息,以及试用过期前还剩多少天。

相应地确定数据源和计划成本

确定你正在向或计划向 Microsoft Sentinel 中的工作区引入的数据源。 通过 Microsoft Sentinel 可以从一个或多个数据源引入数据。 其中一些数据源是免费的,而另一些则需要收费。 有关详细信息,请参阅免费数据源

在使用 Microsoft Sentinel 之前估算成本和计费

使用 Microsoft Sentinel 定价计算器估算新的或不断变化的成本。 在“搜索”框中输入“Microsoft Sentinel”并选择生成的 Microsoft Sentinel 磁贴。 定价计算器可帮助你根据预期的数据引入和保留期来估算可能的成本。

例如,可以输入预计每天要在 Microsoft Sentinel 中引入的数据量,以及工作区的区域。 计算器提供跨这些组件的每月总成本:

  • Microsoft Sentinel:分析日志和辅助/基本日志
  • Azure Monitor:保留
  • Azure Monitor:数据还原
  • Azure Monitor:搜索查询和搜索作业

了解 Microsoft Sentinel 的完整计费模型

Microsoft Sentinel 提供灵活、可预测的定价模型。 要了解详情,请参阅 Microsoft Sentinel 定价页面。 在经典定价层中,早于 2023 年 7 月的 Log Analytics 工作区会与 Microsoft Sentinel 分开收费。 要了解相关的 Log Analytics 费用,请参阅 Azure Monitor Log Analytics 定价

Microsoft Sentinel 在 Azure 基础结构上运行,部署新资源时,该基础结构会随之产生成本。 请务必了解,可能会有其他额外的基础结构成本产生。

Microsoft Sentinel 的收费方式

根据注入到工作区中的日志类型定价。 分析日志通常是高安全值日志中的主要内容。 基本日志往往非常详细,安全值较低。 请务必注意,所有日志类型和层每天按工作区计费。

分析日志

有两种为分析日志付费的方式:“即用即付”和“承诺层级”。

  • 即用即付是默认模型,基于存储的实际数据量,并且可以选择超过 90 天的数据保留。 数据卷以 GB 为单位(109 字节)。

  • Log Analytics 和 Microsoft Sentinel 采用“承诺层级”定价,以前称为“产能预留”。 此类定价层合并到简化的定价层,相比“即用即付”定价可预测性更强,并能节省可观的成本

    承诺层级定价的最低收费标准为每天 100 GB。 超过承诺级别的任何使用量都按所选的承诺层级费率进行计费。 例如,如果承诺层级为每日 100 GB,则会按照 100 GB 的承诺数据量计费,对于每天超出的任何数据量 (GB),则按照该层级的有效折扣价格进行计费。 “有效的每 GB 价格”就是“Microsoft Sentinel 价格”除以层级的每日 GB 数量。 要了解详情,请参阅 Microsoft Sentinel 定价

    随着数据量的增加,可随时增加承诺层级来优化成本。 只允许每 31 天降低一次承诺层级。 要查看当前的 Microsoft Sentinel 定价层级,请在 Microsoft Sentinel 中选择“设置”,然后选择“定价”选项卡。当前定价层标记为“当前层”。

    要设置和更改承诺层级,请参阅设置或更改定价层级。 将 2023 年 7 月之前的任何工作区切换到简化的定价层体验,以统一计费计量。 或者继续使用经典定价层,其中的 Log Analytics 定价与经典 Microsoft Sentinel 经典定价是分开的。 有关详细信息,请参阅简化的定价层

辅助日志和基本日志

基本日志是一种低成本选项,辅助日志是一种超低成本选项,用于引入大量低价值数据源。 每 GB 均按固定的低费率收费。 基本日志和辅助日志具有以下限制:

  • 查询功能减少
  • 30 天交互式保留期
  • 不支持计划警报

这两种日志类型最适合用于 playbook 自动化、临时查询、调查和搜索。 有关详细信息,请参阅:

若要详细了解交互式保留与长期保留(以前称为存档)之间的差异,请参阅管理 Log Analytics 工作区中的数据保留

重要

“辅助日志”日志类型目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

简化的定价层

简化的定价层将 Microsoft Sentinel 的数据分析成本和 Log Analytics 的引入存储成本合并到单个定价层中。 以下屏幕截图显示了所有新工作区使用的简化定价层。

显示简化的定价层的屏幕截图。

将配置有经典定价层的任何工作区切换到简化的定价层。 有关如何切换到新定价的详细信息,请参阅注册简化的定价层

将两种定价层结合在一起可以简化整体的计划和成本管理体验,包括定价页中的可视化,以及以更少的步骤在 Azure 计算器中估算成本。 为了进一步增加新的简化层的价值,当前的 Microsoft Defender for Servers P2 权益(每天向 Log Analytics 引入 500 MB 安全数据)已扩展至简化的定价层。 对于以此方式受到保护的每个虚拟机 (VM) 而言,此项更改大大增加了将合格数据引入 Microsoft Sentinel 的经济效益。 有关详细信息,请参阅常见问题解答 - 授予 500 MB 数据引入配额的 Microsoft Defender for Servers P2 权益

了解 Microsoft Sentinel 帐单

计费计量是服务的单个组件,显示在账单上,也显示在 Microsoft 成本管理中。 在计费周期结束时,将对每个计量标准的费用求和。 帐单或发票显示的费用是所有 Microsoft Sentinel 成本的一部分。 每个计量标准都有单独的一行项目。

要查看你的 Azure 账单,请在“成本管理”的左侧导航中选择“成本分析”。 在“成本分析”屏幕上,从“所有视图”查找并选择“发票详细信息”

下图所示的费用仅用作示例。 并非是为了反映实际成本。 自 2023 年 7 月 1 日起,旧的定价层前面会增加“经典”两个字。

显示示例 Azure 帐单的 Microsoft Sentinel 部分的屏幕截图,用于帮助你估算成本。

Microsoft Sentinel 和 Log Analytics 费用将根据你选择的定价计划作为单独的行项出现在你的 Azure 帐单中。 简化的定价层表示为定价层的单个 sentinel 分项账目。 引入和分析按日计费。 如果工作区在任何一天超过其承诺层级使用量分配,Azure 帐单会显示一个行项,对应承诺层级及其关联的固定成本,还有一个单独的行项,对应超出承诺层级的成本(按相同的有效承诺层级费率计费)。

下表显示了 Microsoft Sentinel 成本在 Azure 账单(根据简化的定价层)的“服务名称”和“计量”列中的显示方式。

对于按简化的承诺层级费率计费,下表显示了 Microsoft Sentinel 成本在 Azure 帐单的“服务名称”和“计量”列中的显示方式

成本说明 Service name 计量
Microsoft Sentinel 承诺层级 Sentinel n GB 承诺层级
Microsoft Sentinel 承诺层级超额 Sentinel 分析

了解如何查看和下载 Azure 帐单

其他服务的成本和定价

Microsoft Sentinel 与许多其他 Azure 服务(包括 Azure 逻辑应用、Azure Notebooks)集成,并自带机器学习 (BYOML) 模型。 其中一些服务可能需要额外付费。 一些 Microsoft Sentinel 的数据连接器和解决方案使用 Azure Functions 进行数据引入,这也会产生单独的相关成本。

了解这些服务的定价:

你使用的其他任何服务都有关联的成本。

交互式和长期数据保留成本

在 Log Analytics 工作区上启用 Microsoft Sentinel 后,请考虑以下配置选项:

  • 最初的 90 天内免费保留工作区中引入的所有数据。 保留天数超过 90 天后,将按照 Log Analytics 保留价格标准进行计费。
  • 为各个数据类型指定不同的保留设置。 了解按数据类型分类的保留期
  • 启用数据的长期保留,以便可以访问历史日志。 长期保留是一种低成本保留状态,用于保存数据以满足监管合规性等要求。 它根据存储和扫描的数据量收费。 了解如何在 Azure Monitor 日志中配置交互式和长期数据保留策略
  • 在“辅助日志”计划中注册包含次要安全数据的表。 此计划允许以低价格存储高容量、低价值日志,并在开始时提供低成本的 30 天交互式保留期,以便进行汇总和基本查询。 若要详细了解辅助日志计划和其他计划,请参阅 Microsoft Sentinel 中的日志保留计划

其他 CEF 引入成本

Microsoft Sentinel 中支持以 CEF 作为 Syslog 事件格式。 使用 CEF 将各种源中有价值的安全信息引入 Microsoft Sentinel 工作区中。 CEF 日志位于 Microsoft Sentinel 中的 CommonSecurityLog 表中,其中包含所有标准的最新 CEF 字段。

许多设备和数据源都支持记录标准 CEF 架构以外的字段。 这些额外的字段将记录在 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段,因为这些字段中的事件内容可能是变化的。

删除资源后可能会累计的成本

删除 Microsoft Sentinel 不会删除部署 Microsoft Sentinel 的 Log Analytics 工作区,也不会消除该工作区可能产生的任何单独费用。

免费数据源

Microsoft Sentinel 可免费使用以下数据源:

  • Azure 活动日志
  • Microsoft Sentinel 运行状况
  • Office 365 审核日志,包括所有 SharePoint 活动、Exchange 管理员活动和 Teams
  • 安全警报,包括以下来源发出的警报:
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud
    • Microsoft Defender for Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • 用于终结点的 Microsoft Defender
  • 以下来源发出的警报:
    • Microsoft Defender for Cloud
    • Microsoft Defender for Cloud Apps

尽管警报是免费的,但是,某些 Microsoft Defender XDR、 Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID 和 Azure 信息保护 (AIP) 数据类型的原始日志将被计费。

下表列出了 Microsoft Sentinel 和 Log Analytics 中不收费的数据源。 有关详细信息,请参阅排除项表

Microsoft Sentinel 数据连接器 免费数据类型
Azure 活动日志 AzureActivity
Microsoft Sentinel 的运行状况监视 1 SentinelHealth
Microsoft Entra ID 保护 SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender for Cloud SecurityAlert (Defender for Cloud)
Microsoft Defender for IoT SecurityAlert (Defender for IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
用于终结点的 Microsoft Defender SecurityAlert (MDATP)
Microsoft Defender for Identity SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (Defender for Cloud Apps)

1有关详细信息,请参阅 Microsoft Sentinel 的审核和运行状况监视

对于同时包含免费和付费数据类型的数据连接器,请选择要启用的数据类型。

Defender for Cloud Apps 的连接器页面的屏幕截图,其中选择了免费的安全警报,未启用付费的 MCAS Shadow IT Reporting。

详细了解如何连接数据源,包括免费数据源和付费数据源。

了解更多

后续步骤

在本文中,你学习了如何规划成本和了解 Microsoft Sentinel 的计费方式。