Планирование затрат и общие сведения о ценах и выставлении счетов для Microsoft Sentinel
По мере планирования развертывания Microsoft Sentinel обычно необходимо понимать свои модели ценообразования и выставления счетов для оптимизации затрат. Данные аналитики безопасности Microsoft Sentinel хранятся в рабочей области Azure Monitor Log Analytics. Выставление счетов основано на томе данных, проанализированных в Microsoft Sentinel и хранящихся в рабочей области Log Analytics. Стоимость обоих объединяется в упрощенной ценовой категории. Узнайте больше об упрощенных ценовых категориях или узнайте больше о ценах на Microsoft Sentinel в целом.
Прежде чем добавлять какие-либо ресурсы для Microsoft Sentinel, оцените затраты с помощью калькулятора цен Azure.
Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. В этой статье объясняется, как планировать затраты на Microsoft Sentinel и как правильно определить сумму в счете за эту службу, так как в счет включаются все службы и ресурсы Azure, используемые в подписке Azure, в том числе партнерские.
Эта статья является частью руководства по развертыванию Microsoft Sentinel.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Бесплатная пробная версия
Включите Microsoft Sentinel в рабочей области Azure Monitor Log Analytics, а первые 10 ГБ/день бесплатно в течение 31 дней. Затраты на прием данных Log Analytics и анализ Microsoft Sentinel не более 10 ГБ в день отменяются в течение 31-дневного пробного периода. В бесплатной пробной версии на одного арендатора Azure предоставляется только 20 рабочих областей.
Использование за эти ограничения взимается за цены, указанные на странице ценообразования Microsoft Sentinel. Плата, связанная с использованием дополнительных возможностей для автоматизации и использования собственных решений машинного обучения, по-прежнему взимается во время действия бесплатной пробной версии.
Во время бесплатной пробной версии найдите ресурсы для управления затратами, обучения и т. д. на вкладке "Новости и руководства > по бесплатной пробной версии" в Microsoft Sentinel. На этой вкладке также отображаются сведения о датах бесплатной пробной версии и сколько дней осталось до истечения срока действия пробной версии.
Определение источников данных и соответствующее планирование затрат
Определите источники данных, которые вы принимаете или планируете принимать в рабочей области в Microsoft Sentinel. С помощью Microsoft Sentinel можно получать данные из одного или нескольких источников. Некоторые из них бесплатны, другие предоставляются на платной основе. Дополнительные сведения см. в статье о бесплатных источниках данных.
Оценка затрат и выставления счетов перед использованием Microsoft Sentinel
Используйте калькулятор цен Microsoft Sentinel для оценки новых или изменяющихся затрат. В поле поиска введите Microsoft Sentinel, а затем в результатах выберите плитку Microsoft Sentinel. Калькулятор цен помогает оценить вероятную стоимость в зависимости от ожидаемых объемов принимаемых и хранимых данных.
Например, введите ГБ ежедневных данных, которые вы ожидаете принять в Microsoft Sentinel, и регион для рабочей области. Калькулятор предоставляет совокупные ежемесячные затраты на эти компоненты.
- Microsoft Sentinel: журналы аналитики и вспомогательные и базовые журналы
- Azure Monitor: хранение
- Azure Monitor: восстановление данных
- Azure Monitor: поисковые запросы и задания поиска
Сведения о полной модели выставления счетов за Microsoft Sentinel
Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Дополнительные сведения см. на странице цен на Microsoft Sentinel. Рабочие области старше июля 2023 г. могут взиматься плата за рабочую область Log Analytics отдельно от Microsoft Sentinel в классической ценовой категории. Дополнительные сведения о расходах на Log Analytics см. в разделе Расценки на Log Analytics Azure Monitor.
Служба Microsoft Sentinel работает в инфраструктуре Azure, в которой затраты начисляются при развертывании нового ресурса. Важно понимать, что могут возникнуть и другие дополнительные затраты на инфраструктуру.
Как выставляются счета за Microsoft Sentinel
Цены основаны на типах журналов, которые приема в рабочую область. Журналы Аналитики обычно составляют большую часть журналов безопасности с высоким уровнем ценности. Основные журналы обычно подробнее, а их ценность с точки зрения безопасности ниже. Важно отметить, что выставление счетов выполняется для каждой рабочей области ежедневно для всех типов журналов и уровней.
Журналы аналитики
Существует две схемы оплаты за использование журналов аналитики: оплата по мере использования и уровни обязательств.
По умолчанию используется модель с оплатой по мере использования, основанная на фактическом объеме хранимых данных и возможностью хранения данных свыше 90 дней. Объем данных измеряется в ГБ (109 байт).
Log Analytics и Microsoft Sentinel имеют ценовую категорию обязательств, ранее называемую резервированиями емкости. Эти ценовые категории объединяются в упрощенные ценовые категории, которые более предсказуемы и предлагают значительную экономию по сравнению с ценами на оплату по мере использования .
Ценовая категория обязательств начинается с 100 ГБ в день. Плата за любое использование, превышающее уровень обязательств, взимается по выбранной ставке уровня обязательств. Например, уровень обязательств в размере 100 ГБ в день взимается за объем данных за зафиксированные 100 ГБ, а также любые дополнительные ГБ/день со скидкой по эффективной ставке для этого уровня. Эффективная цена на ГБ — это просто цена Microsoft Sentinel, разделенная на уровень ГБ в день. Дополнительные сведения см. на странице цен на Microsoft Sentinel.
Увеличьте уровень обязательств в любое время, чтобы оптимизировать затраты по мере увеличения объема данных. Снижение уровня обязательств допускается только каждые 31 дней. Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите "Параметры " в Microsoft Sentinel и перейдите на вкладку "Цены ". Текущая ценовая категория помечена как Текущая категория.
Сведения о настройке и изменении уровня обязательств см. в разделе "Настройка" или изменение ценовой категории. Переключите все рабочие области старше июля 2023 года на упрощенную ценовую категорию для объединения счетчиков выставления счетов. Кроме того, продолжайте использовать классические ценовые категории, которые отделяют цены Log Analytics от классических цен Microsoft Sentinel. Дополнительные сведения см . в упрощенных ценовых категориях.
Вспомогательные журналы и базовые журналы
Базовые журналы — это вариант с низкой стоимостью, а вспомогательные журналы — это вариант супер-низкой стоимости для приема источников данных с высоким объемом и низким уровнем стоимости. Плата взимается на плоскую, низкую ставку на ГБ. Они имеют следующие ограничения, среди прочего:
- сокращенные возможности отправки запросов;
- 30-дневное интерактивное хранение
- запланированные оповещения не поддерживаются.
Эти два типа журналов лучше всего подходят для использования в автоматизации сборников схем, нерегламентированных запросах, исследованиях и поиске. Дополнительные сведения см. в разделе:
Дополнительные сведения о разнице между интерактивным хранением и долгосрочным хранением (прежнее название — архив), см. в статье "Управление хранением данных в рабочей области Log Analytics".
Внимание
Тип журнала вспомогательных журналов в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Упрощенная ценовая категория
Упрощенные ценовые категории объединяют затраты на анализ данных для Microsoft Sentinel и затраты на хранение Log Analytics в одной ценовой категории. На следующем снимках экрана показана упрощенная ценовая категория, используемая всеми новыми рабочими областями.
Переключите любую рабочую область, настроенную с помощью классических ценовых категорий, на упрощенную ценовую категорию. Дополнительные сведения о том, как перейти на новые цены, см. в разделе "Регистрация в упрощенной ценовой категории".
Объединение ценовых категорий обеспечивает упрощение общего процесса выставления счетов и управления затратами, включая визуализацию на странице ценообразования, а также меньше шагов оценки затрат в калькуляторе Azure. Чтобы добавить дополнительное значение к новым упрощенным уровням, текущее преимущество Microsoft Defender для серверов P2, предоставляющее 500 МБ приема данных безопасности в Log Analytics, распространяется на упрощенные ценовые категории. Это изменение значительно повышает финансовую выгоду при приеме подходящих данных в Microsoft Sentinel для каждой виртуальной машины, защищенной таким образом. Дополнительные сведения см. в разделе часто задаваемые вопросы. Преимущество Microsoft Defender для серверов P2 с предоставлением 500 МБ.
Расшифровка счета за использование Microsoft Sentinel
Выставление счетов — это отдельные компоненты вашей службы, которые отображаются в счете и отображаются в Microsoft Cost Management. По окончании цикла выставления счетов плата за каждый показатель будет суммироваться. В счете (или накладной) отображается раздел "Итого" для всех затрат по Microsoft Sentinel. Для каждого показателя имеется отдельный элемент строки.
Чтобы просмотреть счет Azure, выберите "Анализ затрат" в левой области навигации по управлению затратами. На экране "Анализ затрат" найдите и выберите сведения о счете из всех представлений.
Затраты на изображении ниже указаны только для примера. Они не отражают фактические затраты. Начиная с 1 июля 2023 г. устаревшие ценовые категории префиксируются с классической.
Плата за Microsoft Sentinel и Log Analytics может отображаться в счете Azure в виде отдельных элементов в зависимости от выбранного плана ценообразования. Упрощенная ценовая категория представлена в виде одного sentinel
элемента ценовой категории. Плата за прием и анализ выставляются ежедневно. Если ваша рабочая область превышает распределение по уровню обязательств в любой день, счет Azure отображает один элемент строки для уровня "Обязательства" со связанными фиксированными затратами, а также отдельный элемент для стоимости за пределами уровня обязательств, выставленный по той же эффективной ставке уровня обязательств.
На следующих вкладках показано, как затраты Microsoft Sentinel отображаются в столбцах "Имя службы" и "Счетчик " счета Azure в зависимости от упрощенной ценовой категории.
Если счет выставляется по упрощенной ставке уровня обязательств, в этой таблице показано, как затраты Microsoft Sentinel отображаются в столбцах "Имя службы" и "Счетчик " счета Azure.
Описание затрат | Service name | средство измерения. |
---|---|---|
Уровень обязательств Microsoft Sentinel | Sentinel |
n Уровень обязательств в ГБ |
Превышение уровня обязательств Microsoft Sentinel | Sentinel |
Анализ |
Узнайте, как просматривать и скачивать счета Azure.
Затраты и цены на другие службы
Microsoft Sentinel интегрируется со многими другими службами Azure, включая Azure Logic Apps, Записные книжки Azure и модели собственных решений машинного обучения (BYOML). Некоторые из этих служб могут взимать дополнительные расходы. Некоторые соединители данных и решения Microsoft Sentinel используют для приема данных Функции Azure, для которых также может взиматься отдельная связанная плата.
Сведения о ценах на эти службы:
- Служба автоматизации — цены на Logic Apps
- Цены на Записные книжки
- Цены на BYOML
- Цены на решение "Функции Azure"
Любые другие службы, которые вы используете, могут иметь связанные затраты.
Интерактивные и долгосрочные затраты на хранение данных
После включения Microsoft Sentinel в рабочей области Log Analytics рассмотрите следующие параметры конфигурации:
- Сохраните все данные, которые будут приема в рабочую область без платы за первые 90 дней. Хранение свыше 90 дней оплачивается по стандартным ценам на Log Analytics.
- Укажите различные параметры хранения для отдельных типов данных. Сведения о хранении по типу данных.
- Включите долгосрочное хранение данных, чтобы получить доступ к журналам журнала. Долгосрочное хранение — это состояние хранения с низкой стоимостью для сохранения данных для таких вещей, как соответствие нормативным требованиям. Его стоимость зависит от объема хранимых и сканируемых данных. Узнайте, как настроить интерактивные и долгосрочные политики хранения данных в журналах Azure Monitor.
- Регистрация таблиц, содержащих вторичные данные безопасности в плане вспомогательных журналов . Этот план позволяет хранить журналы с низким уровнем стоимости с низкой ценой с более низкой стоимостью 30-дневный интерактивный период хранения в начале, чтобы обеспечить сводку и базовый запрос. Дополнительные сведения о плане вспомогательных журналов и других планах см . в разделе "Планы хранения журналов" в Microsoft Sentinel.
Другие затраты на прием данных CEF
CEF — это поддерживаемый формат событий системного журнала в Microsoft Sentinel. Используйте CEF для получения ценных сведений о безопасности из различных источников в рабочую область Microsoft Sentinel. Журналы CEF хранятся в Microsoft Sentinel в таблице CommonSecurityLog, которая включает все актуальные стандартные поля CEF.
Многие устройства и источники данных поддерживают поля ведения журнала за пределами стандартной схемы CEF. Эти дополнительные поля находятся в таблице AdditionalExtensions. Они могут иметь более высокие объемы приема, чем стандартные поля CEF, поскольку содержимое событий в этих полях может меняться.
После удаления ресурсов могут начисляться затраты
При удалении Microsoft Sentinel рабочая область Log Analytics, где была развернута эта служба, не удаляется, и отдельная плата за эту рабочую область продолжает начисляться.
Бесплатные источники данных
В Microsoft Sentinel можно бесплатно использовать следующие источники данных:
- Журналы действий Azure
- Работоспособности Microsoft Sentinel
- Журналы аудита Office 365, включая все действия SharePoint, действия администратора Exchange и Teams
- Оповещения системы безопасности, включая оповещения из следующих источников:
- Microsoft Defender XDR
- Microsoft Defender для облака
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender для облачных приложений
- Microsoft Defender для конечной точки;
- Оповещения из следующих источников:
- Microsoft Defender для облака
- Microsoft Defender для облачных приложений
Хотя оповещения бесплатны, необработанные журналы для некоторых типов данных Microsoft Defender XDR, Defender для конечной точки/ identity/Office 365/Cloud Apps, идентификатора Microsoft Entra и Azure Information Protection (AIP) оплачиваются.
В следующей таблице перечислены источники данных в Microsoft Sentinel и Log Analytics, которые не взимается. Дополнительные сведения см . в исключенных таблицах.
Соединители данных Microsoft Sentinel | Бесплатный тип данных |
---|---|
Журналы действий Azure | AzureActivity |
Мониторинг работоспособности для Microsoft Sentinel 1 | SentinelHealth |
Защита идентификации Microsoft Entra | SecurityAlert (IPC) |
Office 365 | OfficeActivity (SharePoint) |
OfficeActivity (Exchange) | |
OfficeActivity (Teams) | |
Microsoft Defender для облака | SecurityAlert (Defender для облака) |
Microsoft Defender для Интернета вещей | SecurityAlert (Defender для Интернета вещей) |
Microsoft Defender XDR | SecurityIncident |
SecurityAlert | |
Microsoft Defender для конечной точки | SecurityAlert (MDATP) |
Microsoft Defender для удостоверений | SecurityAlert (AATP) |
Microsoft Defender for Cloud Apps | SecurityAlert (Defender for Cloud Apps) |
1 Дополнительные сведения см. в разделе "Аудит и мониторинг работоспособности" для Microsoft Sentinel.
Для соединителей данных, которые включают как бесплатные, так и платные типы данных, выберите нужные типы данных.
Узнайте больше о подключении источников данных, включая бесплатные и платные источники.
Подробнее
- Мониторинг затрат на Microsoft Sentinel
- Сокращение затрат на Microsoft Sentinel
- Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
- Ознакомьтесь с дополнительными сведениями об управлении затратами с помощью анализа затрат.
- Узнайте, как предотвратить непредвиденные затраты.
- Пройдите интерактивный курс обучения по управлению затратами.
- Дополнительные советы по сокращению объема данных Log Analytics см. в статье Рекомендации по управлению расходами в Azure Monitor.
Следующие шаги
В этой статье вы узнали, как спланировать затраты и понять выставление счетов для Microsoft Sentinel.