Планирование затрат и общие сведения о ценах и выставлении счетов для Microsoft Sentinel

2025-04-30
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

По мере планирования развертывания Microsoft Sentinel обычно необходимо понимать свои модели ценообразования и выставления счетов для оптимизации затрат. Данные аналитики безопасности Microsoft Sentinel хранятся в рабочей области Azure Monitor Log Analytics. Выставление счетов основано на томе данных , проанализированных в Microsoft Sentinel и хранящихся в рабочей области Log Analytics. Стоимость обоих объединяется в упрощенной ценовой категории. Узнайте больше об упрощенных ценовых категориях или узнайте больше о ценах на Microsoft Sentinel в целом.

Оцените затраты перед добавлением ресурсов в рабочую область Microsoft Sentinel, найдя Microsoft Sentinel в разделе "Безопасность " калькулятора цен Azure.

Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. Хотя в этой статье объясняется, как планировать затраты и понимать выставление счетов за Microsoft Sentinel, вам выставляется счет за все службы и ресурсы Azure, используемые в подписке Azure, включая услуги Партнеров.

Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Бесплатная пробная версия

Включите Microsoft Sentinel в рабочей области Azure Monitor Log Analytics, а первые 10 ГБ/день бесплатно в течение 31 дня. Затраты на прием данных Log Analytics и анализ Microsoft Sentinel до предела в 10 ГБ в день не взимаются в течение 31-дневного пробного периода. В бесплатной пробной версии ограничение составляет 20 рабочих областей на арендатора Azure.

Использование сверх этих ограничений оплачивается согласно ценам, указанным на странице ценообразования Microsoft Sentinel. Расходы, связанные с дополнительными возможностями автоматизации и переносом собственного машинного обучения, по-прежнему применимы во время бесплатной пробной версии.

Во время бесплатной пробной версии найдите ресурсы для управления затратами, обучения и т. д. на вкладке "Новости и руководства > по бесплатной пробной версии" в Microsoft Sentinel. На этой вкладке также отображаются сведения о датах бесплатной пробной версии и сколько дней осталось до истечения срока действия пробной версии.

Определение источников данных и соответствующее планирование затрат

Определите источники данных, которые вы принимаете или планируете принимать в рабочей области в Microsoft Sentinel. С помощью Microsoft Sentinel можно получать данные из одного или нескольких источников. Некоторые из них бесплатны, другие предоставляются на платной основе. Дополнительные сведения см. в разделе "Бесплатные источники данных".

Оценка затрат и выставления счетов перед использованием Microsoft Sentinel

Используйте калькулятор цен Microsoft Sentinel для оценки новых или изменяющихся затрат. Введите Microsoft Sentinel в поле поиска и выберите полученную плитку Microsoft Sentinel. Калькулятор цен помогает оценить вероятную стоимость в зависимости от ожидаемых объемов принимаемых и хранимых данных.

Например, введите количество данных в ГБ, которые вы ожидаете ежедневно принимать в Microsoft Sentinel, и укажите регион для вашей рабочей области. Калькулятор предоставляет совокупные ежемесячные затраты на эти компоненты.

Microsoft Sentinel: журналы аналитики и вспомогательные и базовые журналы
Azure Monitor: хранение
Azure Monitor: восстановление данных
Azure Monitor: поисковые запросы и задания поиска

Понять полную модель выставления счетов для Microsoft Sentinel

Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Дополнительные сведения см. на странице цен на Microsoft Sentinel. Рабочие области, созданные до июля 2023 года, могут иметь отдельные сборы за рабочую область Log Analytics, отличные от Microsoft Sentinel, по классической системе оплаты. Сведения о связанных расходах Log Analytics см. в статье о ценах на Azure Monitor Log Analytics.

Служба Microsoft Sentinel работает в инфраструктуре Azure, в которой затраты начисляются при развертывании нового ресурса. Важно понимать, что могут возникнуть и другие дополнительные затраты на инфраструктуру.

Как выставляются счета за Microsoft Sentinel

Цены зависят от типов журналов, поступающих в рабочее пространство. Журналы аналитики обычно составляют большую часть ваших журналов безопасности с высоким уровнем ценности и поддерживают все типы данных, предлагающие полную аналитику, оповещения и без ограничений запросов. Вспомогательные журналы и базовые журналы, как правило, являются подробными и имеют низкую ценность с точки зрения безопасности. Важно отметить, что выставление счетов ежедневно производится для каждого рабочего пространства и охватывает все типы журналов и уровни.

Журналы аналитики

Существует два способа оплаты журналов аналитики: оплата по мере использования и тарифные планы с обязательствами.

Pay-As-You-Go — это модель по умолчанию, основанная на фактическом объеме хранимых данных и, при желании, для хранения данных более чем на 90 дней. Объем данных измеряется в ГБ (10⁹ байт).
Log Analytics и Microsoft Sentinel имеют ценовую категорию обязательств , ранее называемую резервированиями емкости. Эти ценовые категории объединяются в упрощенные ценовые категории, которые более предсказуемы и предлагают значительную экономию по сравнению с ценами на оплату по мере использования .

Ценовая категория обязательств начинается с 100 ГБ в день. Плата за любое использование, превышающее уровень обязательств, взимается по выбранной ставке уровня обязательств. Например, за уровень обязательств в размере 100 ГБ в день выставляется счет за объем данных за зафиксированные 100 ГБ, а также за любые дополнительные ГБ/день по эффективной ставке со скидкой для этого уровня. Эффективная цена на ГБ — это просто цена Microsoft Sentinel, разделенная на количество ГБ в день в рамках уровня. Дополнительные сведения см. в разделе о ценах на Microsoft Sentinel.

Увеличьте уровень обязательств в любое время, чтобы оптимизировать затраты по мере увеличения объема данных. Снижение уровня обязательств допускается только каждые 31 дней. Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите "Параметры " в Microsoft Sentinel и перейдите на вкладку "Цены ". Текущая ценовая категория помечена как Текущая категория.

Сведения о настройке и изменении уровня обязательств см. в разделе "Настройка" или изменение ценовой категории. Переключите все рабочие области, существующие по состоянию на июль 2023 года включительно, на упрощенный опыт работы с ценовыми категориями для объединения счетчиков выставления счетов. Кроме того, продолжайте использовать классические ценовые категории, которые отделяют цены Log Analytics от классических цен Microsoft Sentinel. Дополнительные сведения см. в упрощенных ценовых категориях.

Вспомогательные журналы

Вспомогательные журналы — это очень недорогой вариант для обработки источников данных с большим объемом и низкой ценностью. Плата взимается по фиксированной низкой ставке за ГБ. Они имеют следующие ограничения, среди прочего:

сокращенные возможности отправки запросов;
30-дневное интерактивное хранение
запланированные оповещения не поддерживаются.

Этот тип журнала лучше всего подходит для использования в автоматизации сценариев, разовых запросов, расследованиях и поиске. Дополнительные сведения см. в разделе:

Базовые журналы являются аналогичным вариантом, но менее экономичным.

Дополнительные сведения о разнице между интерактивным хранением и долгосрочным хранением (прежнее название — архив), см. в статье "Управление хранением данных в рабочей области Log Analytics".

Упрощенные ценовые категории

Упрощенные ценовые категории объединяют затраты на анализ данных для Microsoft Sentinel и затраты на хранение Log Analytics в одной ценовой категории. На следующем снимке экрана показан упрощенный ценовой уровень, используемый всеми новыми рабочими областями.

Переключите любую рабочую область, настроенную с помощью классических ценовых категорий, на упрощенную ценовую категорию. Дополнительные сведения о том, как перейти на новые цены, см. в разделе "Регистрация в упрощенной ценовой категории".

Объединение ценовых категорий обеспечивает упрощение общего процесса выставления счетов и управления затратами, включая визуализацию на странице ценообразования, а также меньше шагов оценки затрат в калькуляторе Azure. Чтобы добавить дополнительное значение к новым упрощенным уровням, текущее преимущество Microsoft Defender для серверов P2, предоставляющее 500 МБ приема данных безопасности в Log Analytics, распространяется на упрощенные ценовые категории. Это изменение значительно повышает финансовую выгоду при приеме подходящих данных в Microsoft Sentinel для каждой виртуальной машины, защищенной таким образом. Дополнительные сведения см. в разделе Часто задаваемые вопросы о преимуществах Microsoft Defender для серверов P2 с предоставлением 500 МБ.

Расшифровка счета за использование Microsoft Sentinel

Счетные метры — это отдельные компоненты вашей службы, которые видны в вашем счете и отображаются в Microsoft Cost Management. По окончании цикла выставления счетов плата за каждый счетчик суммируется. В счете отображается раздел, содержащий все затраты по Microsoft Sentinel. Для каждого счетчика имеется отдельная строка.

Чтобы просмотреть счет Azure, выберите "Анализ затрат " в левой области навигации по управлению затратами. На экране "Анализ затрат " найдите и выберите сведения о счете из всех представлений.

Затраты на изображении ниже указаны только для примера. Они не отражают фактические затраты. Начиная с 1 июля 2023 г., устаревшие ценовые категории получают префикс Classic.

Плата за Microsoft Sentinel и Log Analytics может отображаться в счете Azure в виде отдельных элементов в зависимости от выбранного плана ценообразования. Упрощенная ценовая категория представлена в виде одного sentinel элемента ценовой категории. Плата за прием и анализ производится ежедневно. Если ваша рабочая область превышает распределение по уровню обязательств в любой день, счет Azure отображает один элемент строки для уровня "Обязательства" со связанными фиксированными затратами, а также отдельный элемент для стоимости за пределами уровня обязательств, выставленный по той же эффективной ставке уровня обязательств.

Упрощенный
Классический

На следующих вкладках показано, как затраты Microsoft Sentinel отображаются в столбцах "Имя службы " и " Счетчик " счета Azure в зависимости от упрощенной ценовой категории.

Если вам выставляется счет по тарифу упрощенного уровня "Обязательства", в этой таблице показано, как затраты на Microsoft Sentinel отображаются в столбцах "Имя службы" и "Счетчик" вашего счета за Azure.

Описание затрат	Название услуги	измерительный прибор
Уровень обязательств Microsoft Sentinel	`Sentinel`	`n` Уровень обязательств в ГБ
Превышение уровня обязательств Microsoft Sentinel	`Sentinel`	Анализ

Если вы оплачиваете услуги по классической ставке уровня обязательств, в этой таблице показано, как затраты Microsoft Sentinel и Log Analytics отображаются в столбцах "Имя службы" и "Счетчик" счета Azure.

Описание затрат	Название услуги	измерительный прибор
Уровень обязательств Microsoft Sentinel	`Sentinel`	Классический уровень обязательств GB`n`
Уровень обязательств Log Analytics	`Azure Monitor`	`n` Уровень обязательств для GB
Превышение уровня обязательств Microsoft Sentinel	`Sentinel`	Классический анализ
Log Analytics на уровне "Обязательства"	`Log Analytics`	Прием данных

Если вам выставляют счета по упрощенной ставке "плати за использование", эта таблица показывает, как затраты на Microsoft Sentinel отображаются в столбцах «Имя службы» и «Счетчик» вашего счета Azure.

Описание затрат	Название услуги	измерительный прибор
Оплата по мере использования	`Sentinel`	Анализ по системе оплаты по мере использования
Анализ основных данных журналов	`Sentinel`	Базовый анализ журналов
Анализ данных вспомогательных логов	`Sentinel`	Анализ вспомогательных журналов

Если вы оплачиваете счета по классической ставке по мере использования, в этой таблице показано, как затраты Microsoft Sentinel и Log Analytics отображаются в столбцах "Имя службы" и "Счетчик" счета Azure.

Описание затрат	Название услуги	измерительный прибор
Оплата по мере использования	`Sentinel`	Классический анализ системы оплаты по мере использования
Оплата по мере использования	`Log Analytics`	Прием данных с оплатой по мере использования
Анализ основных данных журналов	`Sentinel`	Анализ классических базовых журналов
Прием данных из базовых журналов	`Azure Monitor`	Сбор данных из базовых журналов
Анализ данных вспомогательных логов	`Sentinel`	Анализ классических вспомогательных журналов
Прием данных вспомогательных журналов	`Azure Monitor`	Основные вспомогательные данные загрузки

В этой таблице показано, как услуги Microsoft Sentinel и Log Analytics с нулевой стоимостью отображаются в столбцах Имя службы и Счетчик вашего счета Azure для бесплатных служб данных при использовании упрощенного уровня ценообразования. Дополнительные сведения см. в разделе "Просмотр преимуществ выделения данных".

Описание затрат	Название услуги	измерительный прибор
Бесплатная пробная версия Microsoft Sentinel — анализ в Sentinel	`Sentinel`	Бесплатный анализ пробной версии
Преимущество XDR в Microsoft Defender — анализ данных	`Sentinel`	Бесплатное преимущество — анализ Защитника Microsoft 365

В этой таблице показано, как бесплатные расходы на службы Microsoft Sentinel и Log Analytics отображаются в столбцах Имя службы и Счетчик вашего счета Azure за бесплатные службы данных, когда выставление счета производится по классическому тарифному плану. Дополнительные сведения см. в разделе "Просмотр преимуществ выделения данных".

Описание затрат	Название услуги	измерительный прибор
Бесплатная пробная версия Microsoft Sentinel — прием данных в Log Analytics	`Azure Monitor`	Бесплатная выгода — прием данных пробной версии Az Sentinel
Бесплатная пробная версия Microsoft Sentinel — анализ в Sentinel	`Sentinel`	Бесплатный анализ пробной версии
Преимущества Microsoft Defender XDR – сбор данных	`Azure Monitor`	Бесплатное преимущество — интеграция данных в M365 Defender
Преимущество XDR в Microsoft Defender — анализ данных	`Sentinel`	Бесплатное преимущество — анализ Защитника Microsoft 365

Узнайте, как просмотреть и скачать счет Azure.

Затраты и цены на другие службы

Microsoft Sentinel интегрируется со многими другими службами Azure, включая Azure Logic Apps, Записные книжки Azure и модели собственных решений машинного обучения (BYOML). Некоторые из этих служб могут взимать дополнительные расходы. Некоторые соединители данных и решения Microsoft Sentinel используют для приема данных Функции Azure, для которых также может взиматься отдельная связанная плата.

Сведения о ценах на эти службы:

Любые другие службы, которые вы используете, могут иметь связанные затраты.

Интерактивные и долгосрочные затраты на хранение данных

После включения Microsoft Sentinel в рабочей области Log Analytics рассмотрите следующие параметры конфигурации:

Сохраните все данные, поступающие в рабочую область, без начисления платы в течение первых 90 дней. Плата за хранение за пределами 90 дней взимается по стандартным тарифам на хранение Log Analytics.
Укажите различные параметры хранения для отдельных типов данных. Узнайте о хранении по типу данных.
Включите долгосрочное хранение данных, чтобы получить доступ к историческим журналам. Долгосрочное хранение — это состояние хранения с низкой стоимостью для сохранения данных для таких вещей, как соответствие нормативным требованиям. Его стоимость зависит от объема хранимых и сканируемых данных. Узнайте, как настроить интерактивные и долгосрочные политики хранения данных в журналах Azure Monitor.
Включите таблицы, содержащие вторичные данные безопасности, в план вспомогательных журналов. Этот план позволяет хранить высокообъемные, низкоценные журналы по низкой цене с более дешевым 30-дневным интерактивным периодом хранения в начале, чтобы обеспечить сводку и выполнение базовых запросов. Дополнительные сведения о плане вспомогательных журналов и других планах см. в разделе "Планы хранения журналов" в Microsoft Sentinel.

Другие затраты на обработку данных CEF

CEF — это поддерживаемый формат событий системного журнала в Microsoft Sentinel. Используйте CEF для получения ценных сведений о безопасности из различных источников в рабочую область Microsoft Sentinel. Журналы CEF хранятся в Microsoft Sentinel в таблице CommonSecurityLog, которая включает все актуальные стандартные поля CEF.

Многие устройства и источники данных поддерживают поля ведения журнала за пределами стандартной схемы CEF. Эти дополнительные поля находятся в таблице AdditionalExtensions. Они могут иметь более высокие объемы приема, чем стандартные поля CEF, поскольку содержимое событий в этих полях может меняться.

Возможны затраты после удаления ресурсов.

При удалении Microsoft Sentinel рабочая область Log Analytics, на которой была развернута эта служба, не удаляется, и на эту рабочую область продолжают начисляться отдельные расходы.

Бесплатные источники данных

В Microsoft Sentinel можно бесплатно использовать следующие источники данных:

Журналы действий Azure
Состояние Microsoft Sentinel
Журналы аудита Office 365, включая все действия SharePoint, действия администратора Exchange и Teams
Оповещения системы безопасности, включая оповещения из следующих источников:
- Microsoft Defender XDR
- Microsoft Defender для облака
- Microsoft Defender для Office 365
- Microsoft Defender для идентификации
- Microsoft Defender для облачных приложений
- Microsoft Defender для конечных точек
Оповещения из следующих источников:
- Microsoft Defender для облака
- Microsoft Defender для облачных приложений

Хотя оповещения бесплатны, за необработанные журналы данных некоторых типов, таких как Microsoft Defender XDR, Microsoft Defender для конечных точек/Identity/Office 365/Cloud Apps, Microsoft Entra ID и Azure Information Protection (AIP), взимается плата.

В следующей таблице перечислены источники данных в Microsoft Sentinel и Log Analytics, с которых не взимается плата. Дополнительные сведения см. в исключенных таблицах.

Соединители данных Microsoft Sentinel	Бесплатный тип данных
Журналы действий Azure	AzureActivity
Мониторинг состояния для Microsoft Sentinel¹	SentinelHealth
Защита идентификаторов Microsoft Entra	SecurityAlert (IPC)
Office 365	OfficeActivity (SharePoint)
	Деятельность Офиса (Exchange)
	OfficeActivity (Teams)
Microsoft Defender для облака	SecurityAlert (Defender для облака)
Microsoft Defender для Интернета вещей	SecurityAlert (Defender для Интернета вещей)
Microsoft Defender XDR	Инцидент безопасности
	Уведомление о безопасности
Microsoft Defender для конечной точки	SecurityAlert (MDATP)
Microsoft Defender для идентичности	SecurityAlert (AATP)
Microsoft Defender для облачных приложений	Оповещение о безопасности (Defender for Cloud Apps)

¹Дополнительные сведения см. в разделе "Аудит и мониторинг работоспособности" для Microsoft Sentinel.

Для соединителей данных, которые включают как бесплатные, так и платные типы данных, выберите, какие типы данных вы хотите включить.

Дополнительные сведения о подключении источников данных, включая бесплатные и платные источники данных.

Подробнее

Следите за затратами на Microsoft Sentinel
Сокращение затрат на Microsoft Sentinel
Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
Узнайте больше об управлении затратами с помощью анализа затрат.
Узнайте, как предотвратить непредвиденные затраты.
Ознакомьтесь с учебным курсом по управлению затратами .
Дополнительные советы по сокращению объема данных Log Analytics см. в рекомендациях по управлению затратами в Azure Monitor.

Следующие шаги

В этой статье вы узнали, как спланировать затраты и понять выставление счетов для Microsoft Sentinel.

Развертывание Microsoft Sentinel