你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
若要估算预期Microsoft Sentinel成本,请使用 Microsoft Sentinel 成本估算器工具、和 直接与安全销售专家进行自定义报价或其他指导。
Microsoft Sentinel的成本只是Azure帐单中每月成本的一部分。 尽管本文介绍了如何规划成本并了解Microsoft Sentinel的计费,但Azure订阅使用的所有Azure服务和资源(包括合作伙伴服务)都会向你计费。
本文是 Microsoft Sentinel 部署指南 的一部分。
重要说明
2027年3月31日之后,Azure门户将不再支持Microsoft Sentinel,该服务将仅在Microsoft Defender门户中可用。 在Azure门户中使用Microsoft Sentinel的所有客户都将重定向到Defender门户,并将仅在Defender门户中使用Microsoft Sentinel。
如果您仍在 Azure 门户中使用 Microsoft Sentinel,建议您开始规划切换到 Defender 门户,以确保平稳过渡,并充分利用由 Microsoft Defender 提供的统一安全操作体验。
免费试用
在 Azure Monitor Log Analytics 工作区上启用 Microsoft Sentinel,每天最高可用 Analytics 日志计划免费引入 10GB 内容,持续 31 天。 在为期31天的试用期内,Log Analytics的数据引入费用和Microsoft Sentinel的分析费用被免除,且每天的处置量最高限制为10 GB。 此免费试用版受每个Azure租户 20 个工作区的限制。
有关超出这些限制的使用方式的信息,请参阅 Microsoft Sentinel 定价页。 与自动化和自带机器学习额外功能相关的费用在免费试用期间仍然适用,以及任何 Microsoft Sentinel 数据湖相关费用。
在免费试用期间,您可以在 Azure 门户的 Microsoft Sentinel 中的 News & guides 免费试用> 选项卡上查找成本管理、培训等资源。 此选项卡还显示有关免费试用日期的详细信息,以及试用过期前还剩多少天。
了解Microsoft Sentinel的完整计费模型
Microsoft Sentinel提供了灵活的可预测定价模型。 有关详细信息,请参阅 Microsoft Sentinel 定价页。 在经典定价层中,对于 2023 年 7 月之前的工作区,其 Log Analytics 工作区与 Microsoft Sentinel 分开收费。 有关相关 Log Analytics 费用,请参阅 Azure Monitor Log Analytics 定价。
Microsoft Sentinel 在 Azure 基础结构上运行,部署新资源时,该基础结构会随之产生成本。 请务必了解,可能会有其他额外的基础结构成本产生。
Microsoft Sentinel 的收费方式
定价基于数据导入到的层级。 有关层和计划的详细信息,请参阅 Microsoft Sentinel 中的数据层。
分析层
可通过两种方法为分析层付费: 即用即付 层和 承诺层。
即用即付是默认模型,基于存储的实际数据量,并且可以选择超过 90 天的数据保留。 数据量以 GB(109 字节)为单位。
Log Analytics和Microsoft Sentinel具有承诺层级定价,也称为容量预留。 与 即用即付 定价相比,这些定价层合并为简化的定价层,这些定价层更具可预测性,并提供大量节省成本。
承诺层 定价从每天 100 GB 开始。 超过承诺级别的任何使用量都按所选的承诺层级费率进行计费。 例如,如果承诺层级为每日 100 GB,则会按照 100 GB 的承诺数据量计费,对于每天超出的任何数据量 (GB),则按照该层级的有效折扣价格进行计费。 “有效的每 GB 价格”就是“Microsoft Sentinel 价格”除以层级的每日 GB 数量。 有关详细信息,请参阅 Microsoft Sentinel 定价。
随着数据量的增加,可随时增加承诺层级来优化成本。 只允许每 31 天降低一次承诺层级。 若要查看当前的Microsoft Sentinel定价层,请在 Microsoft Sentinel 中选择 Settings,然后选择 pricing 选项卡。当前定价层标记为 Current 层。
若要设置和更改承诺层,请参阅 “设置或更改定价层”。 将 2023 年 7 月之前的任何工作区切换到简化的定价层体验,以统一计费计量。 或者,继续使用将Log Analytics定价与经典Microsoft Sentinel经典定价分开的经典定价层。
数据湖层
若要了解有关 Microsoft Sentinel data lake 的详细信息,请参阅 Microsoft Sentinel data lake。
数据湖层根据各种数据湖功能的使用情况产生费用。
- 对于保留设置为“仅数据湖层”的表中引入的所有数据,数据湖引入按 GB 收费。 当数据被引入到保留设置为同时包括分析层和数据湖层的表中时,不会产生数据湖引入费用。
- 对于保留设置为“仅数据湖层”的表中引入的数据,数据处理按 GB 收费。 它支持修订、拆分、筛选和规范化等转换。 当数据被引入到保留设置为同时包括分析层和数据湖层的表中时,不会产生数据处理费用。
- 对于分析层保留期结束后仍留在数据湖层中的任何数据,每月将按GB计算数据湖存储费用。 费用基于简单且统一的数据压缩率 6:1。 例如,如果保留 600 GB 的原始数据,则会将其计费为 100 GB 的压缩数据。
- 在笔记本会话中使用、运行笔记本作业或为自定义图构建节点和边时,数据湖查询费用按所用计算小时计费。 计算小时数是通过将为笔记本选择的池中的核心数与会话处于活动状态或作业运行的时间量相乘计算的。 数据湖笔记本会话和作业提供 12、32 和 80 vCore 的池。
载入后,来自 Microsoft Sentinel 工作区的使用情况开始通过上述方式计费,不再按现有针对长期保留(以前称为存档)、搜索或辅助日志引入的方式计费。
Microsoft Sentinel图表
Defender和 Purview 门户中的嵌入式图形
Microsoft Defender 门户中的狩猎图和爆炸半径可视化,以及 Microsoft Purview 门户中的内部风险管理和数据安全调查,不会产生任何计费或消耗费用。 若要详细了解 Sentinel 提供支持的Microsoft Purview和Defender图形,请参阅 Microsoft Sentinel graph。
通过 MCP 图形工具集合访问Defender和 Purview 图形会产生额外费用。
自定义图形
Sentinel 自定义图计费是基于使用量的,按每个计算小时的图操作来收费。 若要详细了解Microsoft Sentinel自定义图形,请参阅 Custom 图形。
以下自定义图形操作在图形计量下按计算小时计费:
在 Visual Studio Code 中使用笔记本创建图形。
在 Visual Studio Code 中使用笔记本查询图形。
通过 Defender 门户使用 Sentinel 图形体验查询图形。
使用图形查询 API 查询图形。
使用 Sentinel MCP 图形工具集合查询图形。
图费用
图费用按核心小时数 × 执行时间 × 所选 SKU 中的 vCore 数量 × Sentinel 图计费单价计算。 有一个图形 SKU 选项,它使用 49 个 vCore 进行图形生成操作,使用 6 个 vCore 进行图形查询,最小查询执行时间为 1 分钟。
例如,当你运行一个笔记本作业 1 小时,并使用图 API 构建一个耗时 5 分钟的图时,图费用计算如下:
cost = 49 × (Price per vCore hour) × (5/60)
同样,如果图形查询需要一分钟才能完成,则成本将确定为:
cost = 6 × (Price per vCore hour) × (1/60)
为构建图的节点和边而进行的数据转换所消耗的任何笔记本/Spark 计算和数据湖存储,均根据现有的 Sentinel 数据湖计量(数据湖存储和高级数据见解)单独计费。
Sentinel模型上下文协议(MCP)服务器
Sentinel MCP 服务器是向 AI 代理公开 Sentinel 平台功能的接口层。 使用 MCP 服务器本身无需额外付费。 MCP 工具使用底层 Sentinel 平台服务(例如数据湖查询或图操作),这些服务根据各自的计量进行计费。 此外,当需要 AI 推理执行时,某些工具(如实体分析器)可能会使用 安全计算单元(SCU )。 客户只需为基础平台服务和他们消耗的计算付费。
Microsoft Sentinel MCP Data Lake 工具
若要了解有关 data Lake 工具的详细信息,请参阅 Microsoft Sentinel MCP 服务器中的 Data exploration 工具集合。
安装和配置Microsoft Sentinel的统一 MCP 服务器不收费。 但是,使用这些工具通过 Kusto 查询语言 (KQL) 查询从 Microsoft Sentinel 数据湖中搜索和检索数据时,会触发数据湖查询计量。 若要了解详细信息,请参阅 Microsoft Sentinel data lake 的定价。
Microsoft Sentinel MCP 实体分析器
若要了解有关实体分析器的详细信息,请参阅 实体分析器。
客户将按用于 AI 推理的安全计算单元(SCU)收费,该单元生成实体风险分析,该分析基于流行、威胁情报和关系。
现有Security Copilot的权限将适用。 超出Microsoft 365 E5权利的任何使用会产生额外的费用。 只有在使用量超过预配的 SCU 数量时,才会对超出的部分进行计费,并且客户仅支付实际消耗的 SCU 费用。 有关详细信息,请参阅 Sentinel MCP 计费以及 智能 Microsoft Security Copilot 副驾驶® 的 SCU 入门信息。
此外,使用实体分析器时,客户将按针对 Microsoft Sentinel Data Lake 执行的 KQL 查询付费。
Microsoft Sentinel MCP 分类工具
若要了解有关会审工具的详细信息,请参阅 会审工具集合。
在已接入所需产品和服务的前提下,安装、配置和使用分诊工具不产生任何费用。 当在 Microsoft Defender 门户中设置了 Microsoft Defender、Microsoft Defender for Endpoint 或 Microsoft Sentinel 时,可以免费获取分诊功能。
了解 Microsoft Sentinel 帐单
可计费用计量表是您服务中的单独组件,显示在您的账单上,并在 Microsoft 成本管理中显示。 在计费周期结束时,将对每个计量标准的费用求和。 帐单或发票显示的费用是所有 Microsoft Sentinel 成本的一部分。 每个计量标准都有单独的一行项目。
若要查看Azure帐单,请在成本管理左侧导航中选择Cost Analysis。 在“成本分析”屏幕上,从“所有视图”查找并选择“发票详细信息”。 若要了解查看计费信息所需的访问级别,请参阅 管理对 Azure 计费信息的访问。
下图所示的费用仅用作示例。 并非是为了反映实际成本。 从 2023 年 7 月 1 日起,旧定价层以 经典版为前缀。
Microsoft Sentinel和Log Analytics费用可能会根据你所选择的定价计划,在Azure账单上显示为单独的项目。 简化的定价层表示为定价层的单个 sentinel 行项。 引入和分析按日计费。 如果工作区在任何一天超过其承诺层级使用量分配,Azure 帐单会显示一个行项,对应承诺层级及其关联的固定成本,还有一个单独的行项,对应超出承诺层级的成本(按相同的有效承诺层级费率计费)。
如果按简化的承诺层费率计费,此表显示了Azure帐单的 Service name 和 Meter 列中Microsoft Sentinel成本的显示方式。
| 成本说明 | 服务名称 | 计量 |
|---|---|---|
| Microsoft Sentinel 的承诺层 | Sentinel |
n GB 承诺层 |
| Microsoft Sentinel 承诺层级超额 | Sentinel |
分析 |
了解如何查看和下载Azure帐单。
其他服务的成本和定价
Microsoft Sentinel 与许多其他 Azure 服务(包括 Azure 逻辑应用、Azure Notebooks)集成,并自带机器学习 (BYOML) 模型。 其中一些服务可能需要额外付费。 某些Microsoft Sentinel的数据连接器和解决方案使用Azure Functions进行数据引入,这些数据引入也具有单独的关联成本。
了解这些服务的定价:
你使用的其他任何服务都有关联的成本。
交互式和总数据保留成本
在Log Analytics工作区上启用Microsoft Sentinel后,请考虑以下配置选项:
- 在最初的 90 天内免费保留工作区中引入的所有数据。 保留期超过 90 天按标准 Log Analytics 保留价格收费。
- 为各个数据类型指定不同的保留设置。 了解 数据类型的保留策略。
- 通过全量保留来延长数据的保留期,以便你可以访问历史日志。 Microsoft Sentinel 数据湖是一种低成本的数据存储状态, 用于保存数据以满足法规合规性等要求。 它根据存储和扫描的数据量收费。 使用 数据管理>表调整分析和整体保留期,并在 什么是 Microsoft Sentinel 数据湖? 中了解更多信息。
- 将包含辅助安全数据的表切换到 Lake 层。 这样,便可以使用内置的查询功能以低价格存储大量低值日志。 使用 数据管理 > 表 将表从 Analytics 切换到 Lake 层。
其他 CEF 引入成本
CEF 是Microsoft Sentinel支持的 Syslog 事件格式。 使用 CEF 将来自各种源的宝贵安全信息引入Microsoft Sentinel工作区。 CEF 日志位于 Microsoft Sentinel 的 CommonSecurityLog 表中,其中其包括所有标准最新的 CEF 字段。
许多设备和数据源都支持记录标准 CEF 架构以外的字段。 这些额外的字段记录在 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段,因为这些字段中的事件内容可能是变化的。
删除资源后可能会累计的成本
删除 Microsoft Sentinel 并不会删除其部署所在的 Log Analytics 工作区,也不会取消该工作区可能产生的任何单独费用。
免费数据源
以下数据源可通过 Microsoft Sentinel 免费使用:
- Azure活动日志
- Microsoft Sentinel运行状况
- Office 365审核日志,包括所有SharePoint活动、Exchange管理活动和 Teams
- 安全警报,包括以下来源发出的警报:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint (微软终端防护)
- 以下来源发出的警报:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
尽管警报是免费的,但是,某些 Microsoft Defender XDR、 Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID 和 Azure 信息保护 (AIP) 数据类型的原始日志将被计费。
下表列出了未收费的Microsoft Sentinel和Log Analytics中的数据源。 有关详细信息,请参阅 排除的表。
| Microsoft Sentinel数据连接器 | 免费数据类型 |
|---|---|
| Azure Activity | AzureActivity |
| Microsoft Sentinel 健康监控1 | SentinelHealth |
| Microsoft Entra ID 保护 | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity(Exchange) | |
| OfficeActivity(Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Azure 安全中心) |
| Microsoft Defender for IoT | SecurityAlert (适用于 IoT 的Azure 安全中心) |
| Microsoft Defender XDR | 安全事件 |
| 安全警报 | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender for Office 365 (预览版) | SecurityAlert (OATP) |
1 有关详细信息,请参阅 Microsoft Sentinel 的审核和健康监控。
对于同时包含免费和付费数据类型的数据连接器,请选择要启用的数据类型。
详细了解如何 连接数据源,包括免费数据源和付费数据源。
了解详细信息
- 监控 Microsoft Sentinel 的成本
- 降低 Microsoft Sentinel 的成本
- 了解 如何使用 Microsoft 成本管理 优化云投资。
- 详细了解如何使用 成本分析管理成本。
- 了解如何 防止意外成本。
- 参加 成本管理 引导学习课程。
- 有关减少Log Analytics数据量的详细信息,请参阅Azure Monitor最佳做法 - 成本管理。