Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы оценить ожидаемые затраты на Microsoft Sentinel, используйте средство оценки затрат Microsoft Sentinel и обратитесь непосредственно к специалисту по продажам безопасности для получения пользовательских предложений или дополнительных рекомендаций.
Затраты на Microsoft Sentinel — это только часть ежемесячных расходов в счете за Azure. Хотя в этой статье объясняется, как планировать затраты и понимать выставление счетов для Microsoft Sentinel, счета выставляются за все службы и ресурсы Azure, используемые подпиской Azure, включая службы партнеров.
Эта статья является частью руководства по развертыванию для Microsoft Sentinel.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется начать планирование перехода на портал Defender , чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Бесплатная пробная версия
Включите Microsoft Sentinel в рабочей области Azure Monitor Log Analytics и первые 10 ГБ в день, которые подается с помощью плана журналов Аналитики, предоставляются бесплатно в течение 31 дня. Плата за прием данных Log Analytics и плата за анализ Microsoft Sentinel до 10 ГБ в день не взимается в течение 31-дневного пробного периода. На эту бесплатную пробную версию распространяется ограничение в 20 рабочих областей для каждого клиента Azure.
Сведения о том, как взимается плата за использование за пределами этих ограничений, см. на странице цен на Microsoft Sentinel . Плата, связанная с дополнительными возможностями автоматизации и использованием собственного машинного обучения , по-прежнему применяется во время бесплатной пробной версии, а также любые расходы, связанные с Озером данных Microsoft Sentinel.
Во время бесплатной пробной версии найдите ресурсы по управлению затратами, обучению и многому другому на вкладке Новости & руководства бесплатная > пробная версия в Microsoft Sentinel на портале Azure. На этой вкладке также отображаются сведения о датах бесплатной пробной версии и количестве дней, оставшихся до истечения срока действия пробной версии.
Общие сведения о полной модели выставления счетов для Microsoft Sentinel
Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Дополнительные сведения см. на странице цен на Microsoft Sentinel. Для рабочих областей старше июля 2023 г. может взиматься плата за рабочую область Log Analytics отдельно от Microsoft Sentinel в классической ценовой категории. Сведения о связанных расходах на Log Analytics см. в статье Цены на Azure Monitor Log Analytics.
Microsoft Sentinel работает в инфраструктуре Azure, которая взимает затраты при развертывании новых ресурсов. Важно понимать, что могут возникнуть другие дополнительные затраты на инфраструктуру, которые могут возникнуть.
Как взимается плата за Microsoft Sentinel
Цены зависят от уровня, на который подается данные. Дополнительные сведения об уровнях и планах см. в разделе Уровни данных в Microsoft Sentinel.
Уровень аналитики
Существует два способа оплаты уровня аналитики: уровень оплаты по мере использования и уровень обязательств.
Модель с оплатой по мере использования — это модель по умолчанию, основанная на фактическом объеме данных, хранящихся и при необходимости для хранения данных свыше 90 дней. Объем данных измеряется в ГБ (109 байт).
Log Analytics и Microsoft Sentinel имеют ценовую категорию обязательств , которая ранее называлась резервированиями емкости. Эти ценовые категории объединяются в упрощенные ценовые категории, которые являются более предсказуемыми и обеспечивают значительную экономию по сравнению с ценами с оплатой по мере использования.
Цены на уровень обязательств начинаются с 100 ГБ в день. За любое использование, превышающее уровень обязательств, взимается плата по выбранной ставке уровня обязательств. Например, при уровне обязательств в размере 100 ГБ в день выставляется счет за выделенный объем данных 100 ГБ, а также за все дополнительные ГБ в день по сниженной действующей ставке для этого уровня. Эффективная цена за ГБ — это просто цена Microsoft Sentinel, делимая на количество ГБ уровня в день. Дополнительные сведения см. в разделе Цены на Microsoft Sentinel.
Увеличьте уровень обязательств в любое время, чтобы оптимизировать затраты по мере увеличения объема данных. Снижение уровня обязательств допускается только каждые 31 день. Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите Параметры в Microsoft Sentinel, а затем перейдите на вкладку Цены. Текущая ценовая категория помечена как текущая.
Сведения о настройке и изменении уровня обязательств см. в статье Установка или изменение ценовой категории. Переключите все рабочие области старше июля 2023 г. на упрощенные ценовые категории, чтобы унифицировать счетчики выставления счетов. Или продолжайте использовать классические ценовые категории, которые отделяют цены Log Analytics от классических цен Microsoft Sentinel.
Уровень озера данных
Дополнительные сведения о озере данных Microsoft Sentinel см. в статье Озеро данных Microsoft Sentinel.
За уровень озера данных взимается плата в зависимости от использования различных возможностей озера данных.
- За прием озера данных взимается плата за ГБ всех данных, поданных в таблицы с уровнем хранения только озера данных. Плата за прием озера данных не взимается, если данные попадают в таблицы с уровнем хранения, включающими уровни озера данных и аналитики.
- За обработку данных взимается плата за ГБ данных, которые будут приниматься в таблицы с уровнем хранения только data lake. Он поддерживает такие преобразования, как редактирование, разделение, фильтрация и нормализация. Плата за обработку данных не взимается, если данные попадают в таблицы с хранением, включающими уровни аналитики и озера данных.
- Плата за хранение озера данных взимается за ГБ в месяц для любых данных, которые остаются на уровне озера данных после окончания срока хранения уровня аналитики. Плата основана на простой и равномерной скорости сжатия данных 6:1. Например, если вы храните 600 ГБ необработанных данных, они оплачиваются как 100 ГБ сжатых данных.
- Плата за запросы озера данных взимается за ГБ несжатых данных, сканированных с помощью запросов языка запросов Kusto (KQL) или заданий KQL.
- Плата за расширенную аналитику данных взимается за час вычислений, используемый при использовании в сеансах записных книжек, выполнении заданий записной книжки или создании узлов и ребер для пользовательских графов. Часы вычислений вычисляются путем умножения количества ядер в пуле, выбранном для записной книжки, на время активности сеанса или выполнения задания. Сеансы и задания записных книжек Data Lake доступны в пулах с 12, 32 и 80 виртуальными ядрами.
После подключения плата за использование рабочих областей Microsoft Sentinel начинает выставляться по ранее описанным счетчикам, а не по существующим счетчикам длительного хранения (ранее известного как архив), поиск или вспомогательные счетчики приема журналов.
График Microsoft Sentinel
Внедренные графы на порталах Defender и Purview
Визуализации графа охоты и радиуса взрыва на портале Microsoft Defender, а также управление внутренними рисками и исследования безопасности данных на портале Microsoft Purview не влечет за собой выставление счетов или расходов на потребление. Дополнительные сведения о графах Microsoft Purview и Defender на платформе Sentinel см. в статье График Microsoft Sentinel.
Доступ к графам Defender и Purview через коллекцию инструментов графов MCP приводит к дополнительным расходам.
Пользовательские графы
Выставление счетов на пользовательском графе Sentinel основано на потреблении, при этом за каждый час вычислений взимается плата за операции графа. Дополнительные сведения о пользовательских графах Microsoft Sentinel см. в разделе Пользовательские графы.
За каждый час вычислений в рамках графомметра взимается плата за следующие пользовательские операции графа:
Создание графа с помощью записных книжек в Visual Studio Code.
Запрос графа с помощью записных книжек в Visual Studio Code.
Выполнение запросов к графу с помощью графов Sentinel через портал Defender.
Выполнение запросов к графу с помощью API запросов Graph.
Запрос графа с помощью коллекции инструментов graph Sentinel MCP.
Плата за граф
Плата за граф вычисляется как время выполнения в основных часах, умноженное на количество виртуальных ядер в выбранном SKU раз в цене счетчика графа Sentinel. Существует один параметр SKU графа, который использует 49 виртуальных ядер для операций сборки графов и 6 виртуальных ядер для запросов графов с минимальным временем выполнения запроса в одну минуту.
Например, если вы запускаете задание записной книжки в течение одного часа и используете API графа для создания графа, который занимает пять минут, стоимость графа вычисляется следующим образом:
cost = 49 × (Price per vCore hour) × (5/60)
Аналогичным образом, если выполнение запросов графа занимает одну минуту, стоимость определяется следующим образом:
cost = 6 × (Price per vCore hour) × (1/60)
Плата за любые вычисления записной книжки и Spark и хранилище Озера данных, используемые для преобразования данных для создания узла и ребер для графа, оплачивается независимо по существующим счетчикам озера данных Sentinel (хранилище озера данных и расширенная аналитика данных).
Вы можете отслеживать использование пользовательских графов с помощью управления затратами Microsoft Sentinel на портале Microsoft Defender.
Сервер контекстного протокола модели Sentinel (MCP)
Сервер Sentinel MCP — это уровень интерфейса, который предоставляет возможности платформы Sentinel агентам ИИ. Использование самого сервера MCP не взимается. Средства MCP используют базовые службы платформы Sentinel, такие как запросы озера данных или операции графа, счета за которые выставляются на основе соответствующих счетчиков. Кроме того, некоторые средства, такие как анализатор сущностей, могут использовать единицы вычислений безопасности (SKU), когда требуется выполнение аргументирования ИИ. С клиентов взимается плата только за базовые службы платформы и вычислительные ресурсы, которые они потребляют.
Microsoft Sentinel MCP data lake tools
Дополнительные сведения о средствах data lake см. в статье Сбор средств просмотра данных на сервере MICROSOFT Sentinel MCP.
Установка и настройка унифицированного сервера MCP Microsoft Sentinel не предусматривает затрат. Однако использование средств для поиска и извлечения данных с помощью запросов языка запросов Kusto (KQL) из озера данных Microsoft Sentinel вызывает счетчик запросов озера данных. Дополнительные сведения см. в разделе Цены на Озеро данных Microsoft Sentinel.
Анализатор сущностей Microsoft Sentinel MCP
Дополнительные сведения об анализаторе сущностей см. в статье Анализатор сущностей.
С клиентов взимается плата за единицы вычислений безопасности (SKU), используемые для обоснования ИИ, который создает анализ рисков сущности, основанный на распространенности, аналитике угроз и связях.
Применяются существующие права Security Copilot. За любое использование, превышающее ваше право Microsoft 365 E5, взимается дополнительная плата. Плата за превышение SCU взимается только в том случае, если использование превышает подготовленную сумму, а с клиентов взимается плата только за использованные SKU. Дополнительные сведения см. в разделах Выставление счетов MCP Sentinel и Начало работы с Microsoft Security Copilot для SKU.
Кроме того, при использовании анализатора сущностей с клиентов взимается плата за запросы KQL, выполненные в озере данных Microsoft Sentinel.
Средство рассмотрения Microsoft Sentinel MCP
Дополнительные сведения о средстве рассмотрения см. в разделе Коллекция средств рассмотрения.
Установка, настройка и использование средства рассмотрения не требует затрат при условии, что вы подключены к необходимым продуктам и службам. Вы можете получить доступ к рассмотрению без дополнительной платы, когда Microsoft Defender для конечной точки или Microsoft Sentinel настроен на портале Microsoft Defender.
Сведения о счете Microsoft Sentinel
Оплачиваемые счетчики — это отдельные компоненты вашей службы, которые отображаются в счете и отображаются в разделе Управление затратами Майкрософт. В конце цикла выставления счетов сумма расходов за каждый счетчик суммируется. В счете или счете отображается раздел для всех затрат на Microsoft Sentinel. Для каждого счетчика имеется отдельный элемент строки.
Чтобы просмотреть счет Azure, выберите Анализ затрат в области управления затратами слева. На экране Анализ затрат найдите и выберите сведения о счете из всех представлений. Сведения об уровне доступа, необходимом для просмотра сведений о выставлении счетов, см. в статье Управление доступом к сведениям о выставлении счетов для Azure.
Затраты, показанные на следующем рисунке, предназначены только для примеров. Они не предназначены для отражения фактических затрат. С 1 июля 2023 г. для устаревших ценовых категорий используется префикс "Классическая".
Плата за Microsoft Sentinel и Log Analytics может отображаться в счете Azure в виде отдельных строк в зависимости от выбранного ценового плана. Упрощенные ценовые категории представлены в виде одной sentinel строки для ценовой категории. Плата за прием и анализ выставляется ежедневно. Если ваша рабочая область превышает объем использования уровня "Обязательства" в любой день, счет Azure отображает одну строку для уровня "Обязательства" со связанными фиксированными затратами и отдельную строку для стоимости за пределами уровня "Обязательства", выставленную по той же действующей ставке уровня обязательств.
На следующих вкладках показано, как затраты Microsoft Sentinel отображаются в столбцах Имя службы и Счетчик счета Azure в зависимости от упрощенной ценовой категории.
Если счет выставляется по упрощенной ставке уровня обязательств, в этой таблице показано, как затраты Microsoft Sentinel отображаются в столбцах Имя службы и Счетчик счета Azure.
| Описание затрат | Имя службы | Метр |
|---|---|---|
| Уровень обязательств Microsoft Sentinel | Sentinel |
n Уровень обязательств в ГБ |
| Превышение уровня обязательств Microsoft Sentinel | Sentinel |
Анализ |
Узнайте, как просмотреть и скачать счет Azure.
Затраты и цены на другие услуги
Microsoft Sentinel интегрируется со многими другими службами Azure, включая Azure Logic Apps, Записные книжки Azure, и предоставляет собственные модели машинного обучения (BYOML). За некоторые из этих служб может взиматься дополнительная плата. Некоторые соединители данных и решения Microsoft Sentinel используют Функции Azure для приема данных, с которыми также связаны отдельные затраты.
Узнайте о ценах на эти службы:
Любые другие используемые вами службы могут иметь связанные затраты.
Интерактивные и общие затраты на хранение данных
После включения Microsoft Sentinel в рабочей области Log Analytics рассмотрите следующие варианты конфигурации:
- В течение первых 90 дней сохраняйте все данные, попадаемые в рабочую область, бесплатно. Срок хранения свыше 90 дней взимается по стандартным ценам на хранение Log Analytics.
- Укажите различные параметры хранения для отдельных типов данных. Сведения о хранении по типам данных.
- Продление срока хранения данных с общим объемом хранения, чтобы у вас был доступ к журналам журнала. Озеро данных Microsoft Sentinel — это недорогое состояние хранения для сохранения данных для таких аспектов, как соответствие нормативным требованиям. Плата взимается в зависимости от объема хранящихся и сканируемых данных. Использование таблиц управления > данными для настройки периода хранения аналитики и общего объема данных, а также дополнительные сведения см. в статье Что такое озеро данных Microsoft Sentinel?
- Переключение таблиц, содержащих вторичные данные безопасности, на уровень Lake. Это позволяет хранить журналы большого объема с низкой стоимостью по низкой цене с встроенными возможностями запросов. Используйте таблицы управления > данными для переключения таблиц с уровня "Аналитика" на уровень Lake .
Другие затраты на прием CEF
CEF — это поддерживаемый формат событий системного журнала в Microsoft Sentinel. Используйте CEF для получения ценных сведений о безопасности из различных источников в рабочую область Microsoft Sentinel. Журналы CEF помещаются в таблицу CommonSecurityLog в Microsoft Sentinel, которая включает все стандартные актуальные поля CEF.
Многие устройства и источники данных поддерживают поля ведения журнала, выходящие за рамки стандартной схемы CEF. Эти дополнительные поля помещаем в таблицу AdditionalExtensions. Эти поля могут иметь более высокие объемы приема, чем стандартные поля CEF, так как содержимое события в этих полях может быть переменным.
Затраты, которые могут возникнуть после удаления ресурсов
При удалении Microsoft Sentinel не удаляется рабочая область Log Analytics Microsoft Sentinel, в которую была развернута рабочая область Microsoft Sentinel, или какие-либо отдельные расходы, которые может взимать рабочая область.
Бесплатные источники данных
Следующие источники данных предоставляются бесплатно в Microsoft Sentinel:
- Журналы действий Azure
- Microsoft Sentinel Health
- Журналы аудита Office 365, включая все действия SharePoint, действия администратора Exchange и Teams
- Оповещения системы безопасности, включая оповещения из следующих источников:
- Microsoft Defender XDR
- Microsoft Defender для облака
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Оповещения из следующих источников:
- Microsoft Defender для облака
- Microsoft Defender for Cloud Apps
Хотя оповещения бесплатны, необработанные журналы для некоторых типов данных Microsoft Defender XDR, Defender для конечной точки, удостоверений, Office 365/Облачных приложений, Идентификатор Microsoft Entra и Azure Information Protection (AIP) оплачиваются.
В следующей таблице перечислены источники данных в Microsoft Sentinel и Log Analytics, за которые не взимается плата. Дополнительные сведения см. в разделе Исключенные таблицы.
| Соединитель данных Microsoft Sentinel | Бесплатный тип данных |
|---|---|
| Действие Azure | AzureActivity |
| Мониторинг работоспособности для Microsoft Sentinel1 | SentinelHealth |
| Защита идентификаторов Microsoft Entra | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender для облака | SecurityAlert (Центр безопасности Azure) |
| Microsoft Defender для Интернета вещей | SecurityAlert (Центр безопасности Azure для Интернета вещей) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender для конечной точки | SecurityAlert (MDATP) |
| Microsoft Defender для удостоверений | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (MCAS) |
| Microsoft Defender для Office 365 (предварительная версия) | SecurityAlert (OATP) |
1Дополнительные сведения см. в статье Аудит и мониторинг работоспособности для Microsoft Sentinel.
Для соединителей данных, которые включают как бесплатные, так и платные типы данных, выберите типы данных, которые требуется включить.
Узнайте больше о подключении источников данных, включая бесплатные и платные источники данных.
Дополнительные сведения
- Мониторинг затрат на Microsoft Sentinel
- Снижение затрат на Microsoft Sentinel
- Узнайте , как оптимизировать инвестиции в облако с помощью Управления затратами Майкрософт.
- Дополнительные сведения об управлении затратами с помощью анализа затрат.
- Узнайте, как предотвратить непредвиденные затраты.
- Ознакомьтесь с учебным курсом "Управление затратами ".
- Дополнительные советы по сокращению объема данных Log Analytics см. в статье Рекомендации по Azure Monitor — управление затратами.