規劃成本並瞭解 Microsoft Sentinel 定價和計費

發行項
04/04/2024
適用於:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

當您規劃 Microsoft Sentinel 部署時，通常想要瞭解其定價和計費模型，以將成本優化。 Microsoft Sentinel 的安全性分析數據會儲存在 Azure 監視器 Log Analytics 工作區中。計費是以 Microsoft Sentinel 中分析的數據量為基礎，並儲存在 Log Analytics 工作區中。兩者的成本會結合在簡化的定價層中。深入了解簡化的定價層，或深入瞭解一般 Microsoft Sentinel 定價。

在您新增 Microsoft Sentinel 的任何資源之前，請先使用 Azure 定價計算機來協助您預估成本。

Microsoft Sentinel 的成本只是 Azure 賬單中每月成本的一部分。雖然本文說明如何規劃成本並瞭解 Microsoft Sentinel 的計費方式，但您需支付 Azure 訂用帳戶使用的所有 Azure 服務和資源費用，包括合作夥伴服務。

本文是 Microsoft Sentinel 的部署指南的一部分。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

免費試用

在 Azure 監視器 Log Analytics 工作區上啟用 Microsoft Sentinel，前 10 GB/天免費 31 天。 Log Analytics 數據擷取和 Microsoft Sentinel 分析費用的成本最高為 10 GB/天的限制，會在 31 天的試用期間放棄。此免費試用受限於每個 Azure 租用戶 20 個工作區的限制。

超出這些限制的使用量會根據 Microsoft Sentinel 定價頁面上所列的價格收費。與自動化和自備機器學習功能相關的費用，在免費試用期間仍適用。

在免費試用期間，請在 Microsoft Sentinel 的 [新聞與指南 > 免費試用 ] 索引標籤上尋找成本管理、訓練等資源。此索引標籤也會顯示免費試用日期的詳細數據，以及試用到期前多少天。

據以識別數據源和規劃成本

識別您要內嵌或計劃內嵌至 Microsoft Sentinel 中工作區的數據源。 Microsoft Sentinel 可讓您從一或多個數據源帶入數據。其中有些數據源是免費的，有些則會產生費用。如需詳細資訊，請參閱免費數據源。

使用 Microsoft Sentinel 之前估計成本和帳單

使用 Microsoft Sentinel 定價計算機來預估新的或變更的成本。在 [搜尋] 方塊中輸入 Microsoft Sentinel ，然後選取產生的 Microsoft Sentinel 圖格。定價計算機可協助您根據預期的資料擷取和保留來預估可能的成本。

例如，輸入您預期在 Microsoft Sentinel 中擷取的每日數據 GB，以及工作區的區域。計算機提供這些元件的每月匯總成本：

Microsoft Sentinel：分析記錄和基本記錄
Azure 監視器：保留期
Azure 監視器：數據還原
Azure 監視器：搜尋查詢和搜尋作業

瞭解 Microsoft Sentinel 的完整計費模型

Microsoft Sentinel 提供彈性且可預測的計價模式。如需詳細資訊，請參閱 Microsoft Sentinel 定價頁面。 2023 年 7 月之前的工作區可能會有不同於傳統定價層中 Microsoft Sentinel 的 Log Analytics 工作區費用。如需相關的Log Analytics費用，請參閱 Azure 監視器Log Analytics定價。

Microsoft Sentinel 會在 Azure 基礎結構上執行，以在部署新資源時累算成本。請務必瞭解可能會產生其他額外的基礎結構成本。

Microsoft Sentinel 的收費方式

定價是以擷取至工作區的記錄類型為基礎。分析記錄通常構成您大部分的高價值安全性記錄。基本記錄通常具有低安全性值的詳細資訊。請務必注意，針對所有記錄類型和層，每個工作區每天都會進行計費。

分析記錄

有兩種方式可支付分析記錄：隨用隨付和 承諾用量層。

隨用隨付是預設模型，根據儲存的實際數據量，並選擇性地保留超過90天的數據保留。數據量是以 GB（10⁹ 個字節）來測量。
Log Analytics 和 Microsoft Sentinel 具有 承諾層 定價，先前稱為容量保留。相較於隨用隨付定價，這些定價層會合併成更可預測的簡化定價層，並提供大幅節省成本。

承諾層 定價從每天 100 GB 開始。超過承諾層級的任何使用量會以您選取的承諾層費率計費。例如，承諾用量層級為 100 GB，會向您收取已認可的 100 GB 數據量，加上該層折扣費率的任何額外 GB/天。

隨時增加您的承諾層級，以在數據量增加時將成本優化。僅允許每31天降低承諾用量層級。若要查看您目前的 Microsoft Sentinel 定價層，請選取 Microsoft Sentinel 中的設定，然後選取 [定價] 索引標籤。您目前的定價層會標示為 「目前」層。

若要設定和變更您的承諾用量層，請參閱設定或變更定價層。將 2023 年 7 月之前的工作區切換為簡化的定價層體驗，以統一計費計量。或者，繼續使用將Log Analytics定價與傳統 Microsoft Sentinel 傳統定價區分開的傳統定價層。如需詳細資訊，請參閱簡化的定價層。

基本記錄

基本記錄具有較低的價格，並以每 GB 的一般費率收費。它們有下列限制：

減少查詢功能
八天的保留期
不支援排程的警示

基本記錄最適合用於劇本自動化、臨機操作查詢、調查和搜尋。如需詳細資訊，請參閱在 Azure 監視器中設定基本記錄。

簡化的定價層

簡化的定價層會將 Microsoft Sentinel 的數據分析成本與將 Log Analytics 的擷取記憶體成本合併成單一定價層。下列螢幕快照顯示所有新工作區使用的簡化定價層。

將使用傳統定價層設定的任何工作區切換至簡化的定價層。如需如何 切換至新定價的詳細資訊，請參閱在簡化的定價層中註冊。

結合定價層可提供簡化整體計費和成本管理體驗，包括定價頁面中的視覺效果，以及估計 Azure 計算機成本的步驟較少。為了將進一步的價值新增至新的簡化層，目前適用於伺服器的 Microsoft Defender P2 權益會將 500 MB 的安全性數據擷取至 Log Analytics 延伸至簡化的定價層。這項變更可大幅提升將合格數據內嵌至 Microsoft Sentinel 的財務效益，讓每個受此保護的虛擬機（VM）都能獲得此保護。如需詳細資訊，請參閱常見問題 - 適用於伺服器的 Microsoft Defender P2 權益授與 500 MB。

瞭解您的 Microsoft Sentinel 帳單

可計費計量是您服務的各個元件，會顯示在您的帳單上，並顯示在 Microsoft 成本管理中。在您的計費週期結束時，將會加總各項計量的費用。您的帳單或發票會顯示所有 Microsoft Sentinel 成本的區段。每個計量都有個別的明細。

若要查看您的 Azure 帳單，請在成本管理左側導覽中選取 [成本分析]。 在 [ 成本分析] 畫面上 ，選取 [檢視 ] 欄位中的下拉式插入號，然後選取 [ 發票詳細數據]。

下圖中顯示的成本僅供範例之用。它們不打算反映實際成本。從 2023 年 7 月 1 日起，舊版定價層前面會加上傳統定價層。

Microsoft Sentinel 和 Log Analytics 費用可能會以您所選定價方案為基礎的個別明細項目出現在您的 Azure 賬單上。簡化的定價層會以定價層的單 sentinel 一明細專案表示。擷取和分析會每日計費。如果您的工作區在任何指定的一天超過其承諾用量層使用量配置，Azure 賬單會顯示承諾用量層的一個明細專案及其相關聯的固定成本，以及超出承諾用量層成本的個別明細專案，以相同的有效承諾層費率計費。

簡化
傳統

下列索引標籤顯示 Microsoft Sentinel 成本如何根據簡化的定價層，出現在 Azure 帳單的服務名稱和計量數據行中。

如果您以簡化的承諾用量層費率計費，下表顯示 Microsoft Sentinel 成本如何出現在 Azure 帳單的服務名稱和計量數據行中。

成本描述	服務名稱	計量
Microsoft Sentinel 承諾用量層	`Sentinel`	`n` GB 承諾用量層
Microsoft Sentinel 承諾用量層超額	`Sentinel`	分析

如果您以傳統承諾層費率計費，下表會顯示 Microsoft Sentinel 和 Log Analytics 成本如何出現在 Azure 帳單的服務名稱和計量數據行中。

成本描述	服務名稱	計量
Microsoft Sentinel 承諾用量層	`Sentinel`	傳統 `n` GB 承諾用量層
Log Analytics 承諾層	`Azure Monitor`	`n` GB 承諾用量層
Microsoft Sentinel 承諾用量層超額	`Sentinel`	傳統分析
透過承諾用量層的Log Analytics	`Log Analytics`	數據擷取

如果您以簡化的隨用隨付率計費，下表顯示 Microsoft Sentinel 成本如何出現在 Azure 帳單的服務名稱和計量數據行中。

成本描述	服務名稱	計量
隨用隨付	`Sentinel`	隨用隨付分析
基本記錄數據分析	`Sentinel`	基本記錄分析

如果您以傳統隨用隨付率計費，下表顯示 Microsoft Sentinel 和 Log Analytics 成本如何出現在 Azure 帳單的服務名稱和計量數據行中。

成本描述	服務名稱	計量
隨用隨付	`Sentinel`	傳統隨用隨付分析
隨用隨付	`Log Analytics`	隨用隨付數據擷取
基本記錄數據分析	`Sentinel`	傳統基本記錄分析
基本記錄數據擷取	`Azure Monitor`	基本記錄數據擷取

下表顯示當計費位於簡化定價層時，Microsoft Sentinel 和 Log Analytics 如何在 Azure 帳單的服務名稱和計量數據行中顯示免費數據服務的費用。如需詳細資訊，請參閱檢視數據配置優點。

成本描述	服務名稱	計量
Microsoft Sentinel 免費試用 – Sentinel 分析	`Sentinel`	免費試用分析
Microsoft Defender 全面偵測回應權益 – 數據擷取	`Azure Monitor`	免費權益 - M365 Defender 數據擷取
Microsoft Defender 全面偵測回應權益 – 數據分析	`Sentinel`	免費權益 - M365 Defender 分析

下表顯示當計費位於傳統定價層時，Microsoft Sentinel 和 Log Analytics 如何在 Azure 賬單的服務名稱和計量數據行中顯示免費數據服務的費用。如需詳細資訊，請參閱檢視數據配置優點。

成本描述	服務名稱	計量
Microsoft Sentinel 免費試用 – Log Analytics 數據擷取	`Azure Monitor`	免費權益 - Az Sentinel 試用版數據擷取
Microsoft Sentinel 免費試用 – Sentinel 分析	`Sentinel`	免費試用分析
Microsoft Defender 全面偵測回應權益 – 數據擷取	`Azure Monitor`	免費權益 - M365 Defender 數據擷取
Microsoft Defender 全面偵測回應權益 – 數據分析	`Sentinel`	免費權益 - M365 Defender 分析

瞭解如何檢視及下載您的 Azure 帳單。

其他服務的成本和定價

Microsoft Sentinel 與其他許多 Azure 服務整合，包括 Azure Logic Apps、Azure Notebooks，以及自備機器學習服務（BYOML）模型。其中一些服務可能會有額外費用。某些 Microsoft Sentinel 的數據連接器和解決方案會使用 Azure Functions 進行數據擷取，其也有個別的相關成本。

瞭解這些服務的定價：

您使用的任何其他服務可能都有相關聯的成本。

數據保留和封存記錄成本

在 Log Analytics 工作區上啟用 Microsoft Sentinel 之後，請考慮下列組態選項：

保留前 90 天內嵌至工作區的所有數據，不收取任何費用。超過 90 天的保留會依標準 Log Analytics 保留價格收費。
為個別數據類型指定不同的保留設定。了解數據類型的保留。
啟用封存的記錄，為您的數據啟用長期保留，並能夠存取歷程記錄。數據封存是封存記憶體的低成本保留層。它會根據儲存和掃描的數據量收費。瞭解如何在 Azure 監視器記錄中設定數據保留和封存原則。封存的記錄處於公開預覽狀態。

90 天的保留不適用於基本記錄。如果您想要將基本記錄的數據保留期延長八天以上，請將該數據儲存在封存的記錄中長達七年。

其他 CEF 擷取成本

CEF 是 Microsoft Sentinel 中支援的 Syslog 事件格式。使用 CEF 將來自各種來源的寶貴安全性資訊帶入您的 Microsoft Sentinel 工作區。 CEF 記錄會落在 Microsoft Sentinel 的 CommonSecurityLog 數據表中，其中包含所有標準最新 CEF 字段。

許多裝置和數據源都支援標準 CEF 架構以外的記錄欄位。這些額外的欄位會落在 AdditionalExtensions 數據表中。這些欄位的擷取磁碟區可能高於標準 CEF 欄位，因為這些欄位內的事件內容可以是變數。

資源刪除之後可能會產生的成本

拿掉 Microsoft Sentinel 並不會移除已部署的 Log Analytics 工作區 Microsoft Sentinel，或工作區可能產生的任何個別費用。

免費數據源

下列數據源是免費的 Microsoft Sentinel：

Azure 活動記錄
Microsoft Sentinel Health
Office 365 稽核記錄，包括所有 SharePoint 活動、Exchange 系統管理員活動和 Teams
安全性警示，包括來自下列來源的警示：
- Microsoft Defender XDR
- 適用於雲端的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Defender for Cloud Apps
- 適用於端點的 Microsoft Defender
來自下列來源的警示：
- 適用於雲端的 Microsoft Defender
- Microsoft Defender for Cloud Apps

雖然警示是免費的，但會支付部分 Microsoft Defender 全面偵測回應、適用於雲端的 Defender Apps、Microsoft Entra ID 和 Azure 資訊保護（AIP）數據類型的原始記錄。

下表列出 Microsoft Sentinel 和 Log Analytics 中未收費的數據源。如需詳細資訊，請參閱排除的數據表。

Microsoft Sentinel 數據連接器	免費數據類型
Azure 活動記錄	AzureActivity
Microsoft Sentinel^{1 的健康情況監視}	SentinelHealth
Microsoft Entra ID Protection	SecurityAlert (IPC)
Office 365	OfficeActivity (SharePoint)
	OfficeActivity （Exchange）
	OfficeActivity （Teams）
適用於雲端的 Microsoft Defender	SecurityAlert （適用於雲端的 Defender）
適用於 IoT 的 Microsoft Defender	SecurityAlert （適用於 IoT 的 Defender）
Microsoft Defender XDR	SecurityIncident
	SecurityAlert
適用於端點的 Microsoft Defender	SecurityAlert (MDATP)
適用於身分識別的 Microsoft Defender	SecurityAlert （AATP）
適用於雲端應用程式的 Microsoft Defender	SecurityAlert （適用於雲端的 Defender Apps）

¹如需詳細資訊，請參閱 Microsoft Sentinel 的稽核和健康情況監視。

針對同時包含免費和付費數據類型的數據連接器，請選取您想要啟用的數據類型。

深入瞭解如何連接數據源，包括免費和付費數據源。

深入了解

監視 Microsoft Sentinel 的成本
降低 Microsoft Sentinel 的成本
了解如何透過 Microsoft 成本管理將雲端投資最佳化。
深入了解如何使用成本分析管理成本。
了解如何避免非預期成本。
參加成本管理引導式學習課程。
如需減少 Log Analytics 數據量的詳細資訊秘訣，請參閱 Azure 監視器最佳做法 - 成本管理。

下一步

在本文中，您已瞭解如何規劃成本，並瞭解 Microsoft Sentinel 的計費。

部署 Microsoft Sentinel