Планирование затрат и понимание Microsoft Sentinel ценообразования и выставления счетов

Чтобы оценить ожидаемые затраты на Microsoft Sentinel, используйте средство оценки затрат Microsoft Sentinel и обратитесь непосредственно к специалисту по продажам безопасности для получения пользовательских предложений или дополнительных рекомендаций.

Затраты на Microsoft Sentinel — это только часть ежемесячных расходов в счете за Azure. Хотя в этой статье объясняется, как планировать затраты и понимать выставление счетов за Microsoft Sentinel, счет выставляется за все Azure службы и ресурсы, используемые Azure подпиской, включая службы партнеров.

Эта статья является частью руководства по развертыванию для Microsoft Sentinel.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Бесплатная пробная версия

Включение Microsoft Sentinel в рабочей области Azure Monitor Log Analytics, и первые 10 ГБ в день, которые подается с помощью плана журналов Аналитики, бесплатны в течение 31 дня. Плата за прием данных Log Analytics и плата за анализ Microsoft Sentinel до 10 ГБ в день не взимается в течение 31-дневного пробного периода. На эту бесплатную пробную версию распространяется ограничение в 20 рабочих областей на Azure клиента.

Сведения о том, как взимается плата за использование за пределами этих ограничений, см. на странице цен на Microsoft Sentinel. Плата, связанная с дополнительными возможностями автоматизации и использованием собственного машинного обучения, по-прежнему применяется во время бесплатной пробной версии, а также любые расходы, связанные с озером данных Microsoft Sentinel.

Во время бесплатной пробной версии найдите ресурсы по управлению затратами, обучению и многому другому на вкладке Новости & руководства > бесплатная пробная версия в Microsoft Sentinel на портал Azure. На этой вкладке также отображаются сведения о датах бесплатной пробной версии и количестве дней, оставшихся до истечения срока действия пробной версии.

Общие сведения о полной модели выставления счетов для Microsoft Sentinel

Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Дополнительные сведения см. на странице цен на Microsoft Sentinel. Для рабочих областей старше июля 2023 г. плата за рабочую область Log Analytics может взиматься отдельно от Microsoft Sentinel в классической ценовой категории. Дополнительные сведения о расходах на Log Analytics см. в статье о ценах Azure Monitor Log Analytics.

Microsoft Sentinel работает в Azure инфраструктуре, которая взимает затраты при развертывании новых ресурсов. Важно понимать, что могут возникнуть другие дополнительные затраты на инфраструктуру, которые могут возникнуть.

Как взимается плата за Microsoft Sentinel

Цены зависят от уровня, на который подается данные. Дополнительные сведения об уровнях и планах см. в разделе Уровни данных в Microsoft Sentinel.

Уровень аналитики

Существует два способа оплаты уровня аналитики: уровень оплаты по мере использования и уровень обязательств.

  • Модель с оплатой по мере использования — это модель по умолчанию, основанная на фактическом объеме данных, хранящихся и при необходимости для хранения данных свыше 90 дней. Объем данных измеряется в ГБ (109 байт).

  • Log Analytics и Microsoft Sentinel имеют ценовую категорию обязательств, ранее называвшуюся резервированием емкости. Эти ценовые категории объединяются в упрощенные ценовые категории, которые являются более предсказуемыми и обеспечивают значительную экономию по сравнению с ценами с оплатой по мере использования.

    Цены на уровень обязательств начинаются с 100 ГБ в день. За любое использование, превышающее уровень обязательств, взимается плата по выбранной ставке уровня обязательств. Например, при уровне обязательств в размере 100 ГБ в день выставляется счет за выделенный объем данных 100 ГБ, а также за все дополнительные ГБ в день по сниженной действующей ставке для этого уровня. Эффективная цена за ГБ — это просто цена Microsoft Sentinel, делимая на количество гб уровня в день. Дополнительные сведения см. в разделе цены на Microsoft Sentinel.

    Увеличьте уровень обязательств в любое время, чтобы оптимизировать затраты по мере увеличения объема данных. Снижение уровня обязательств допускается только каждые 31 день. Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите Параметры в Microsoft Sentinel, а затем перейдите на вкладку Цены. Текущая ценовая категория помечена как текущая.

    Сведения о настройке и изменении уровня обязательств см. в статье Установка или изменение ценовой категории. Переключите все рабочие области старше июля 2023 г. на упрощенные ценовые категории, чтобы унифицировать счетчики выставления счетов. Или продолжайте использовать классические ценовые категории, которые отделяют цены Log Analytics от классических Microsoft Sentinel классических цен.

Уровень озера данных

Дополнительные сведения о озере данных Microsoft Sentinel см. в разделе Microsoft Sentinel озера данных.

За уровень озера данных взимается плата в зависимости от использования различных возможностей озера данных.

  • За прием озера данных взимается плата за ГБ всех данных, поданных в таблицы с уровнем хранения только озера данных. Плата за прием озера данных не взимается, если данные попадают в таблицы с уровнем хранения, включающими уровни озера данных и аналитики.
  • За обработку данных взимается плата за ГБ данных, которые будут приниматься в таблицы с уровнем хранения только data lake. Он поддерживает такие преобразования, как редактирование, разделение, фильтрация и нормализация. Плата за обработку данных не взимается, если данные попадают в таблицы с хранением, включающими уровни аналитики и озера данных.
  • Плата за хранение озера данных взимается за ГБ в месяц для любых данных, которые остаются на уровне озера данных после окончания срока хранения уровня аналитики. Плата основана на простой и равномерной скорости сжатия данных 6:1. Например, если вы храните 600 ГБ необработанных данных, они оплачиваются как 100 ГБ сжатых данных.
  • Плата за запросы озера данных взимается за ГБ несжатых данных, сканируемых с помощью запросов язык запросов Kusto (KQL) или заданий KQL.
  • Плата за расширенную аналитику данных взимается за час вычислений, используемый при использовании в сеансах записных книжек, выполнении заданий записной книжки или создании узлов и ребер для пользовательских графов. Часы вычислений вычисляются путем умножения количества ядер в пуле, выбранном для записной книжки, на время активности сеанса или выполнения задания. Сеансы и задания записных книжек Data Lake доступны в пулах с 12, 32 и 80 виртуальными ядрами.

После подключения плата за использование из Microsoft Sentinel рабочих областей начинает выставляться по ранее описанным счетчикам, а не по существующим счетчикам длительного хранения (ранее известного как Архив), поиска или вспомогательных счетчиков приема журналов.

граф Microsoft Sentinel

Внедренные графы на порталах Defender и Purview

Визуализации графа охоты и радиуса взрыва на портале Microsoft Defender, а также управление внутренними рисками и Исследования по безопасности данных на портале Microsoft Purview не взимается плата за выставление счетов или потребление. Дополнительные сведения о графах Microsoft Purview и Defender на платформе Sentinel см. в статье Microsoft Sentinel graph.

Доступ к графам Defender и Purview через коллекцию инструментов графов MCP приводит к дополнительным расходам.

Пользовательские графы

Sentinel выставление счетов на пользовательском графе основано на потреблении, при этом за каждый час вычислений взимается плата за операции графа. Дополнительные сведения о Microsoft Sentinel пользовательских графов см. в разделе Пользовательские графы.

За каждый час вычислений в рамках графомметра взимается плата за следующие пользовательские операции графа:

  • Создание графа с помощью записных книжек в Visual Studio Code.

  • Запрос графа с помощью записных книжек в Visual Studio Code.

  • Выполнение запросов к графу с помощью Sentinel графов через портал Defender.

  • Выполнение запросов к графу с помощью API запросов Graph.

  • Отправка запросов к графу с помощью Sentinel коллекции инструментов графа MCP.

Плата за граф

Плата за граф вычисляется как время выполнения в основных часах, умноженное на количество виртуальных ядер в выбранном SKU раз Sentinel цене графметра. Существует один параметр SKU графа, который использует 49 виртуальных ядер для операций сборки графов и 6 виртуальных ядер для запросов графов с минимальным временем выполнения запроса в одну минуту.

Например, если вы запускаете задание записной книжки в течение одного часа и используете API графа для создания графа, который занимает пять минут, стоимость графа вычисляется следующим образом:

cost = 49 × (Price per vCore hour) × (5/60)

Аналогичным образом, если выполнение запросов графа занимает одну минуту, стоимость определяется следующим образом:

cost = 6 × (Price per vCore hour) × (1/60)

Все вычисления записной книжки и Spark и хранилище Озера данных, используемые для преобразования данных для создания узла и ребер для графа, оплачиваются независимо по существующим Sentinel счетчиков озера данных (хранилище озера данных и расширенная аналитика данных).

Вы можете отслеживать использование пользовательских графов с помощью Microsoft Sentinel управления затратами на портале Microsoft Defender.

сервер MCP Sentinel

Sentinel сервер MCP — это уровень интерфейса, который предоставляет Sentinel возможности платформы агентам ИИ. Использование самого сервера MCP не взимается. Средства MCP используют базовые службы платформы Sentinel, такие как запросы озера данных или операции графа, счета за которые выставляются на основе соответствующих счетчиков. Кроме того, некоторые средства, такие как анализатор сущностей, могут использовать единицы вычислений безопасности (SKU), когда требуется выполнение аргументирования ИИ. С клиентов взимается плата только за базовые службы платформы и вычислительные ресурсы, которые они потребляют.

средства Microsoft Sentinel ОЗЕРА данных MCP

Дополнительные сведения о средствах data lake см. в статье Сбор средств просмотра данных на сервере MICROSOFT SENTINEL MCP.

Установка и настройка унифицированного сервера MCP Microsoft Sentinel не предусматривает затрат. Однако при использовании средств для поиска и извлечения данных с помощью запросов язык запросов Kusto (KQL) из Microsoft Sentinel озера данных вызывается счетчик запросов озера данных. Дополнительные сведения см. в разделе цены на озеро данных Microsoft Sentinel.

анализатор сущностей MCP Microsoft Sentinel

Дополнительные сведения об анализаторе сущностей см. в статье Анализатор сущностей.

С клиентов взимается плата за единицы вычислений безопасности (SKU), используемые для обоснования ИИ, который создает анализ рисков сущности, основанный на распространенности, аналитике угроз и связях.

Применяются существующие Security Copilot права. За любое использование, превышающее ваше право Microsoft 365 E5, взимается дополнительная плата. Плата за превышение SCU взимается только в том случае, если использование превышает подготовленную сумму, а с клиентов взимается плата только за использованные SKU. Дополнительные сведения см. в разделах Sentinel выставления счетов MCP и Начало работы с Microsoft Security Copilot сведения о SKU.

Кроме того, при использовании анализатора сущностей с клиентов взимается плата за запросы KQL, выполняемые в Microsoft Sentinel озера данных.

средство рассмотрения Microsoft Sentinel MCP

Дополнительные сведения о средстве рассмотрения см. в разделе Коллекция средств рассмотрения.

Установка, настройка и использование средства рассмотрения не требует затрат при условии, что вы подключены к необходимым продуктам и службам. Вы можете получить доступ к рассмотрению без дополнительной платы, когда на портале Microsoft Defender настроено Microsoft Defender, Microsoft Defender для конечной точки или Microsoft Sentinel.

Microsoft Sentinel инструмент "Граф MCP"

Дополнительные сведения о инструменте Graph см. в разделе Инструменты Graph.

Установка и настройка Microsoft Sentinel средств графа MCP не влечет за собой никаких затрат. Плата взимается только в том случае, если средства используются для запроса графа, который активирует графометр.

Сведения о счете за Microsoft Sentinel

Оплачиваемые счетчики — это отдельные компоненты вашей службы, которые отображаются в счете и отображаются в разделе Управление затратами Майкрософт. В конце цикла выставления счетов сумма расходов за каждый счетчик суммируется. В счете или счете отображается раздел для всех Microsoft Sentinel затрат. Для каждого счетчика имеется отдельный элемент строки.

Чтобы просмотреть счет за Azure, выберите Анализ затрат в области управления затратами слева. На экране Анализ затрат найдите и выберите сведения о счете из всех представлений. Сведения об уровне доступа, необходимом для просмотра сведений о выставлении счетов, см. в статье Управление доступом к сведениям о выставлении счетов для Azure.

Затраты, показанные на следующем рисунке, предназначены только для примеров. Они не предназначены для отражения фактических затрат. С 1 июля 2023 г. для устаревших ценовых категорий используется префикс "Классическая".

Снимок экрана: раздел Microsoft Sentinel примера счета Azure, помогающий оценить затраты.

Microsoft Sentinel и Плата за Log Analytics может отображаться в счете Azure как отдельные позиции в зависимости от выбранного ценового плана. Упрощенные ценовые категории представлены в виде одной sentinel строки для ценовой категории. Плата за прием и анализ выставляется ежедневно. Если ваша рабочая область превышает распределение по уровню обязательств в любой день, счет за Azure отображает одну строку для уровня обязательств со связанными с ним фиксированными затратами, а также отдельную строку для стоимости за пределами уровня обязательств, выставленную по той же действующей ставке уровня обязательств.

На следующих вкладках показано, как Microsoft Sentinel затраты отображаются в столбцах Имя службы и Счетчик счета за Azure в зависимости от упрощенной ценовой категории.

Если счет выставляется по упрощенной ставке уровня обязательств, в этой таблице показано, как Microsoft Sentinel затраты отображаются в столбцах Имя службы и Счетчик Azure счета.

Описание затрат Имя службы Метр
Уровень обязательств Microsoft Sentinel Sentinel n Уровень обязательств в ГБ
Превышение уровня обязательств Microsoft Sentinel Sentinel Анализ

Узнайте, как просмотреть и скачать счет за Azure.

Затраты и цены на другие услуги

Microsoft Sentinel интегрируется со многими другими службами Azure, включая Azure Logic Apps, Azure Записные книжки, и предоставляет собственные модели машинного обучения (BYOML). За некоторые из этих служб может взиматься дополнительная плата. Некоторые соединители данных и решения Microsoft Sentinel используют Функции Azure для приема данных, что также имеет отдельные затраты.

Узнайте о ценах на эти службы:

Любые другие используемые вами службы могут иметь связанные затраты.

Интерактивные и общие затраты на хранение данных

После включения Microsoft Sentinel в рабочей области Log Analytics рассмотрите следующие варианты конфигурации:

  • В течение первых 90 дней сохраняйте все данные, попадаемые в рабочую область, бесплатно. Срок хранения свыше 90 дней взимается по стандартным ценам на хранение Log Analytics.
  • Укажите различные параметры хранения для отдельных типов данных. Сведения о хранении по типам данных.
  • Продление срока хранения данных с общим объемом хранения, чтобы у вас был доступ к журналам журнала. Озеро данных Microsoft Sentinel — это недорогое состояние хранения для сохранения данных для таких аспектов, как соответствие нормативным требованиям. Плата взимается в зависимости от объема хранящихся и сканируемых данных. Использование таблиц управления > данными для настройки периода хранения аналитики и общего объема данных, а также дополнительные сведения см. в статье Что такое Microsoft Sentinel озера данных?
  • Переключение таблиц, содержащих вторичные данные безопасности, на уровень Lake. Это позволяет хранить журналы большого объема с низкой стоимостью по низкой цене с встроенными возможностями запросов. Используйте таблицы управления > данными для переключения таблиц с уровня "Аналитика" на уровень Lake .

Другие затраты на прием CEF

CEF — это поддерживаемый формат событий системного журнала в Microsoft Sentinel. Используйте CEF для получения ценных сведений о безопасности из различных источников в рабочую область Microsoft Sentinel. Журналы CEF помещаем в таблицу CommonSecurityLog в Microsoft Sentinel, которая включает все стандартные актуальные поля CEF.

Многие устройства и источники данных поддерживают поля ведения журнала, выходящие за рамки стандартной схемы CEF. Эти дополнительные поля помещаем в таблицу AdditionalExtensions. Эти поля могут иметь более высокие объемы приема, чем стандартные поля CEF, так как содержимое события в этих полях может быть переменным.

Затраты, которые могут возникнуть после удаления ресурсов

При удалении Microsoft Sentinel не удаляется рабочая область Log Analytics, в Microsoft Sentinel была развернута, или какие-либо отдельные расходы, которые может взимать рабочая область.

Бесплатные источники данных

Следующие источники данных предоставляются бесплатно с помощью Microsoft Sentinel:

  • Журналы действий Azure
  • Здоровье Microsoft Sentinel
  • Office 365 журналы аудита, включая все действия SharePoint, действия администратора Exchange и Teams
  • Оповещения системы безопасности, включая оповещения из следующих источников:
    • Microsoft Defender XDR
    • Microsoft Defender для облака
    • Microsoft Defender для Office 365
    • Microsoft Defender для удостоверений
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender для конечной точки
  • Оповещения из следующих источников:
    • Microsoft Defender для облака
    • Microsoft Defender for Cloud Apps

Хотя оповещения бесплатны, необработанные журналы для некоторых Microsoft Defender XDR, Defender для конечных точек, удостоверений, Office 365 и облачных приложений, Microsoft Entra ID и Azure Information Protection (AIP) оплачиваются.

В следующей таблице перечислены источники данных в Microsoft Sentinel и Log Analytics, за которые не взимается плата. Дополнительные сведения см. в разделе Исключенные таблицы.

соединитель данных Microsoft Sentinel Бесплатный тип данных
Действия Azure AzureActivity
Мониторинг работоспособности для Microsoft Sentinel1 SentinelHealth
Защита Microsoft Entra ID SecurityAlert (IPC)
Microsoft 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender для облака SecurityAlert (Центр безопасности Azure)
Microsoft Defender для Интернета вещей SecurityAlert (Центр безопасности Azure для Интернета вещей)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender для конечной точки SecurityAlert (MDATP)
Microsoft Defender для удостоверений SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (MCAS)
Microsoft Defender для Office 365 (предварительная версия) SecurityAlert (OATP)

1Дополнительные сведения см. в статье Аудит и мониторинг работоспособности для Microsoft Sentinel.

Для соединителей данных, которые включают как бесплатные, так и платные типы данных, выберите типы данных, которые требуется включить.

Снимок экрана: страница соединителя для Defender for Cloud Apps с выбранными бесплатными оповещениями системы безопасности, а платные теневые ИТ-отчеты MCAS не включены.

Узнайте больше о подключении источников данных, включая бесплатные и платные источники данных.

Дополнительные сведения

Дальнейшие действия

Развертывание Microsoft Sentinel