Планирование затрат и общие сведения о ценах и выставлении счетов для Microsoft Sentinel

Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

По мере планирования развертывания Microsoft Sentinel обычно необходимо понимать свои модели ценообразования и выставления счетов для оптимизации затрат. Данные аналитики безопасности Microsoft Sentinel хранятся в рабочей области Azure Monitor Log Analytics. Выставление счетов основано на томе данных , проанализированных в Microsoft Sentinel и хранящихся в рабочей области Log Analytics. Стоимость обоих объединяется в упрощенной ценовой категории. Узнайте больше об упрощенных ценовых категориях или узнайте больше о ценах на Microsoft Sentinel в целом.

Чтобы оценить ожидаемые затраты Microsoft Sentinel, обратитесь к специалисту по продажам по безопасности , чтобы получить дополнительные сведения о ценах или запросить цитату.

Затраты на Microsoft Sentinel — это лишь часть ежемесячных затрат в вашем счете Azure. Хотя в этой статье объясняется, как планировать затраты и понимать выставление счетов за Microsoft Sentinel, вам выставляется счет за все службы и ресурсы Azure, используемые в подписке Azure, включая услуги Партнеров.

Эта статья является частью руководства по развертыванию Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Бесплатная пробная версия

Включите Microsoft Sentinel в рабочей области Azure Monitor Log Analytics, и первые 10 ГБ в день ввода данных с использованием тарифного плана Аналитики журналов бесплатно в течение 31 дня. Во время 31-дневного пробного периода плата за прием данных Log Analytics и анализ Microsoft Sentinel, до лимита в 10 ГБ в день, не взимается. В бесплатной пробной версии ограничение составляет 20 рабочих областей на арендатора Azure.

См. страницу тарифов Microsoft Sentinel, чтобы узнать, как осуществляется оплата использования, превышающего эти ограничения. Расходы, связанные с дополнительными возможностями автоматизации и с использованием собственного машинного обучения, по-прежнему применимы во время бесплатной пробной версии, так же как и любые расходы, связанные с озером данных Microsoft Sentinel.

Во время бесплатной пробной версии найдите ресурсы для управления затратами, обучения и т. д. на вкладке "Новости и руководства > по бесплатной пробной версии" в Microsoft Sentinel на портале Azure. На этой вкладке также отображаются сведения о датах бесплатной пробной версии и сколько дней осталось до истечения срока действия пробной версии.

Понять полную модель выставления счетов для Microsoft Sentinel

Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Дополнительные сведения см. на странице цен на Microsoft Sentinel. Рабочие области, созданные до июля 2023 года, могут иметь отдельные сборы за рабочую область Log Analytics, отличные от Microsoft Sentinel, по классической системе оплаты. Сведения о связанных расходах Log Analytics см. в статье о ценах на Azure Monitor Log Analytics.

Служба Microsoft Sentinel работает в инфраструктуре Azure, в которой затраты начисляются при развертывании нового ресурса. Важно понимать, что могут возникнуть и другие дополнительные затраты на инфраструктуру.

Как выставляются счета за Microsoft Sentinel

Цены основаны на уровне приема данных. Дополнительные сведения о уровнях и планах см. в разделе "Уровни данных" в Microsoft Sentinel.

Уровень аналитики

Существует два способа оплаты уровня аналитики: уровень оплаты по мере использования и уровни обязательств.

Оплата по мере использования — это модель по умолчанию, основанная на фактическом объеме хранимых данных и, при необходимости, для удержания данных более 90 дней. Объем данных измеряется в ГБ (10⁹ байт).
Log Analytics и Microsoft Sentinel имеют ценовую категорию обязательств , ранее называемую резервированиями емкости. Эти ценовые категории объединяются в упрощенные ценовые категории, которые предсказуемы и предлагают значительную экономию по сравнению с оплатой по мере использования.

Ценовая категория обязательств начинается с 100 ГБ в день. Плата за любое использование, превышающее уровень обязательств, взимается по выбранной ставке уровня обязательств. Например, уровень обязательств в размере 100 ГБ в день выставляет счет за объем данных, зафиксированный в 100 ГБ, а также любые дополнительные ГБ/день по сниженной эффективной ставке для этого уровня. Эффективная цена на ГБ — это просто цена Microsoft Sentinel, разделенная на количество ГБ в день в рамках уровня. Дополнительные сведения см. в разделе о ценах на Microsoft Sentinel.

Увеличьте уровень обязательств в любое время, чтобы оптимизировать затраты по мере увеличения объема данных. Снижение уровня обязательств допускается только каждые 31 дней. Чтобы просмотреть текущую ценовую категорию Microsoft Sentinel, выберите "Параметры " в Microsoft Sentinel и перейдите на вкладку "Цены ". Текущая ценовая категория помечена как Текущая категория.

Сведения о настройке и изменении уровня обязательств см. в разделе "Настройка" или изменение ценовой категории. Переключите все рабочие области, существующие по состоянию на июль 2023 года включительно, на упрощенный опыт работы с ценовыми категориями для объединения счетчиков выставления счетов. Кроме того, продолжайте использовать классические ценовые категории, которые отделяют цены Log Analytics от классических цен Microsoft Sentinel. Дополнительные сведения см. в упрощенных ценовых категориях.

Уровень хранилища данных

Дополнительные сведения о озере данных Microsoft Sentinel см. в озере данных Microsoft Sentinel.

Уровень хранилища данных начисляет плату на основе использования различных возможностей данного хранилища.

Плата за загрузку в озеро данных взимается за ГБ для всех данных, загружаемых в таблицы, хранилище которых настроено только для уровня озера данных. Плата за помещение данных в озеро не взимается, если данные попадают в таблицы с параметрами хранения, включающими как аналитические, так и уровни озера данных.
Обработка данных взимается за ГБ для приема данных в таблицы с заданным значением хранения только для уровня озера данных. Она поддерживает такие преобразования, как редактирование, разделение, фильтрация и нормализация. Плата за обработку данных не взимается, когда данные поступают в таблицы с политикой сохранения, которая охватывает как аналитический уровень, так и уровень озера данных.
Плата за хранилище данных в озере взимается за каждый гигабайт в месяц за данные, остающиеся в уровне озера данных после завершения периода хранения аналитического уровня. Плата основана на простом и едином коэффициенте сжатия данных 6:1. Например, если вы сохраняете 600 ГБ необработанных данных, плата взимается как 100 ГБ сжатых данных.
Плата за запросы озера данных взимается за каждый ГБ несжатых данных, проанализированных с помощью языка Kusto (KQL) или заданий KQL.
Дополнительные расходы на продвинутую аналитику данных применяются за каждый час вычислений, используемый при запуске сеансов записных книжек для исследования озера данных или выполнения заданий записных книжек по исследованию озера данных. Вычислительные часы вычисляются путем умножения числа ядер в пуле, выбранного для записной книжки, с тем временем, когда сеанс был активным или выполнялось задание. Сеансы и задания для data lake notebook доступны в пулах по 4, 8 и 16 ядер.

После подключения начинается выставление счетов за использование рабочих областей Microsoft Sentinel через ранее описанные метры, а не через существующие метры длительного хранения (ранее известные как архив), поиск или вспомогательные метры приема журналов.

Внимание

Существующие клиенты Microsoft Sentinel, которые в настоящее время используют и платят за поглощение вспомогательных журналов, долгосрочное хранение и поиск, будут видеть переход этих расходов на новые показатели поглощения озера данных, хранения озера данных и запросов озера данных соответственно, после подключения к озеру данных Microsoft Sentinel. Цены с предыдущих счетчиков не переносятся. Дополнительные сведения о ценах см. в разделе Microsoft Sentinel: цены.

Для клиентов, которые не подключены к озеру данных Microsoft Sentinel и в настоящее время используют вспомогательные или базовые журналы, см. статью «Управление хранением данных в рабочей области Log Analytics» и Цены Azure Monitor для соответствующей информации.

Упрощенные ценовые категории

Упрощенные ценовые категории объединяют затраты на анализ данных для Microsoft Sentinel и затраты на хранение Log Analytics в одной ценовой категории. На следующем снимке экрана показан упрощенный ценовой уровень, используемый всеми новыми рабочими областями.

Переключите любую рабочую область, настроенную с помощью классических ценовых категорий, на упрощенную ценовую категорию. Дополнительные сведения о том, как перейти на новые цены, см. в разделе "Регистрация в упрощенной ценовой категории".

Объединение ценовых категорий обеспечивает упрощение общей системы выставления счетов и управления затратами. Это включает визуализацию на странице ценообразования и меньше шагов оценки затрат в калькуляторе Azure. Чтобы добавить дополнительное значение к новым упрощенным уровням, текущее преимущество Microsoft Defender для серверов P2, предоставляющее 500 МБ приема данных безопасности в Log Analytics, распространяется на упрощенные ценовые категории. Это изменение значительно повышает финансовую выгоду при приеме подходящих данных в Microsoft Sentinel для каждой виртуальной машины, защищенной таким образом. Дополнительные сведения см. в разделе Часто задаваемые вопросы о преимуществах Microsoft Defender для серверов P2 с предоставлением 500 МБ.

Расшифровка счета за использование Microsoft Sentinel

Счетные метры — это отдельные компоненты вашей службы, которые видны в вашем счете и отображаются в Microsoft Cost Management. По окончании цикла выставления счетов плата за каждый счетчик суммируется. В счете отображается раздел, содержащий все затраты по Microsoft Sentinel. Для каждого счетчика имеется отдельная строка.

Чтобы просмотреть счет Azure, выберите "Анализ затрат " в левой области навигации по управлению затратами. На экране "Анализ затрат " найдите и выберите сведения о счете из всех представлений. Сведения о уровне доступа, необходимом для просмотра сведений о выставлении счетов, см. в статье "Управление доступом к сведениям о выставлении счетов для Azure".

Затраты на изображении ниже указаны только для примера. Они не отражают фактические затраты. Начиная с 1 июля 2023 г., устаревшие ценовые категории получают префикс Classic.

Плата за Microsoft Sentinel и Log Analytics может отображаться в счете Azure в виде отдельных элементов в зависимости от выбранного плана ценообразования. Упрощенная ценовая категория представлена в виде одного sentinel элемента ценовой категории. Плата за прием и анализ производится ежедневно. Если ваша рабочая область превышает распределение по уровню обязательств в любой день, счет Azure отображает один элемент строки для уровня "Обязательства" со связанными фиксированными затратами, а также отдельный элемент для стоимости за пределами уровня обязательств, выставленный по той же эффективной ставке уровня обязательств.

Упрощенный
Классический

На следующих вкладках показано, как затраты Microsoft Sentinel отображаются в столбцах "Имя службы " и " Счетчик " счета Azure в зависимости от упрощенной ценовой категории.

Если вам выставляется счет по тарифу упрощенного уровня "Обязательства", в этой таблице показано, как затраты на Microsoft Sentinel отображаются в столбцах "Имя службы" и "Счетчик" вашего счета за Azure.

Описание затрат	Название услуги	измерительный прибор
Уровень обязательств Microsoft Sentinel	`Sentinel`	`n` Уровень обязательств для GB
Превышение уровня обязательств Microsoft Sentinel	`Sentinel`	Анализ

Если вы оплачиваете услуги по классической ставке уровня обязательств, в этой таблице показано, как затраты Microsoft Sentinel и Log Analytics отображаются в столбцах "Имя службы" и "Счетчик" счета Azure.

Описание затрат	Название услуги	измерительный прибор
Уровень обязательств Microsoft Sentinel	`Sentinel`	Классический уровень обязательств GB`n`
Уровень обязательств Log Analytics	`Azure Monitor`	`n` Уровень обязательств для GB
Превышение уровня обязательств Microsoft Sentinel	`Sentinel`	Классический анализ
Log Analytics на уровне "Обязательства"	`Log Analytics`	Прием данных

Если вам выставляют счета по упрощенной ставке "плати за использование", эта таблица показывает, как затраты на Microsoft Sentinel отображаются в столбцах «Имя службы» и «Счетчик» вашего счета Azure.

Описание затрат	Название услуги	измерительный прибор
Оплата по мере использования	`Sentinel`	Анализ по системе оплаты по мере использования
Анализ основных данных журналов	`Sentinel`	Базовый анализ журналов
Анализ данных вспомогательных логов	`Sentinel`	Анализ вспомогательных журналов

Если вы оплачиваете счета по классической ставке по мере использования, в этой таблице показано, как затраты Microsoft Sentinel и Log Analytics отображаются в столбцах "Имя службы" и "Счетчик" счета Azure.

Описание затрат	Название услуги	измерительный прибор
Оплата по мере использования	`Sentinel`	Классический анализ системы оплаты по мере использования
Оплата по мере использования	`Log Analytics`	Прием данных с оплатой по мере использования
Анализ основных данных журналов	`Sentinel`	Анализ классических базовых журналов
Прием данных из базовых журналов	`Azure Monitor`	Сбор данных из базовых журналов
Анализ данных вспомогательных логов	`Sentinel`	Анализ классических вспомогательных журналов
Прием данных вспомогательных журналов	`Azure Monitor`	Основные вспомогательные данные загрузки

В этой таблице показано, как услуги Microsoft Sentinel и Log Analytics с нулевой стоимостью отображаются в столбцах Имя службы и Счетчик вашего счета Azure для бесплатных служб данных при использовании упрощенного уровня ценообразования. Дополнительные сведения см. в разделе "Просмотр преимуществ выделения данных".

Описание затрат	Название услуги	измерительный прибор
Бесплатная пробная версия Microsoft Sentinel — анализ в Sentinel	`Sentinel`	Бесплатный анализ пробной версии
Преимущество XDR в Microsoft Defender — анализ данных	`Sentinel`	Бесплатное преимущество — анализ Защитника Microsoft 365

В этой таблице показано, как бесплатные расходы на службы Microsoft Sentinel и Log Analytics отображаются в столбцах Имя службы и Счетчик вашего счета Azure за бесплатные службы данных, когда выставление счета производится по классическому тарифному плану. Дополнительные сведения см. в разделе "Просмотр преимуществ выделения данных".

Описание затрат	Название услуги	измерительный прибор
Бесплатная пробная версия Microsoft Sentinel — прием данных в Log Analytics	`Azure Monitor`	Бесплатная выгода — прием данных пробной версии Az Sentinel
Бесплатная пробная версия Microsoft Sentinel — анализ в Sentinel	`Sentinel`	Бесплатный анализ пробной версии
Преимущества Microsoft Defender XDR – сбор данных	`Azure Monitor`	Бесплатное преимущество — интеграция данных в M365 Defender
Преимущество XDR в Microsoft Defender — анализ данных	`Sentinel`	Бесплатное преимущество — анализ Защитника Microsoft 365

Узнайте, как просмотреть и скачать счет Azure.

Затраты и цены на другие службы

Microsoft Sentinel интегрируется со многими другими службами Azure, включая Azure Logic Apps, Записные книжки Azure и модели собственных решений машинного обучения (BYOML). Некоторые из этих служб могут взимать дополнительные расходы. Некоторые соединители данных и решения Microsoft Sentinel используют для приема данных Функции Azure, для которых также может взиматься отдельная связанная плата.

Сведения о ценах на эти службы:

Любые другие службы, которые вы используете, могут иметь связанные затраты.

Интерактивные и общие затраты на хранение данных

После включения Microsoft Sentinel в рабочей области Log Analytics рассмотрите следующие параметры конфигурации:

Сохраните все данные, поступающие в рабочую область, без начисления платы в течение первых 90 дней. Плата за хранение за пределами 90 дней взимается по стандартным тарифам на хранение Log Analytics.
Укажите различные параметры хранения для отдельных типов данных. Узнайте о хранении по типу данных.
Расширьте срок хранения данных с полным сроком хранения, чтобы получить доступ к историческим журналам. Озеро данных Microsoft Sentinel — это хранилище с низкой стоимостью для сохранения данных с целью регуляторного соответствия. Его стоимость зависит от объема хранимых и сканируемых данных. Используйте таблицы управления > данными для настройки периода хранения аналитики и общего периода хранения и узнайте больше в статье Что такое озеро данных Microsoft Sentinel?.
Переключите таблицы, содержащие вторичные данные безопасности, на уровень Lake. Это позволяет хранить журналы большого объема и низкой ценности по низкой стоимости, с возможностью выполнения запросов. Используйте таблицы управления > данными для переключения таблиц из аналитики на уровень Lake .

Другие затраты на обработку данных CEF

CEF — это поддерживаемый формат событий системного журнала в Microsoft Sentinel. Используйте CEF для получения ценных сведений о безопасности из различных источников в рабочую область Microsoft Sentinel. Журналы CEF хранятся в Microsoft Sentinel в таблице CommonSecurityLog, которая включает все актуальные стандартные поля CEF.

Многие устройства и источники данных поддерживают поля ведения журнала за пределами стандартной схемы CEF. Эти дополнительные поля находятся в таблице AdditionalExtensions. Они могут иметь более высокие объемы приема, чем стандартные поля CEF, поскольку содержимое событий в этих полях может меняться.

Возможны затраты после удаления ресурсов.

При удалении Microsoft Sentinel рабочая область Log Analytics, на которой была развернута эта служба, не удаляется, и на эту рабочую область продолжают начисляться отдельные расходы.

Бесплатные источники данных

В Microsoft Sentinel можно бесплатно использовать следующие источники данных:

Журналы действий Azure
Состояние Microsoft Sentinel
Журналы аудита Office 365, включая все действия SharePoint, действия администратора Exchange и Teams
Оповещения системы безопасности, включая оповещения из следующих источников:
- Microsoft Defender XDR
- Microsoft Defender для облака
- Microsoft Defender для Office 365
- Microsoft Defender для идентификации
- Microsoft Defender для облачных приложений
- Microsoft Defender для конечных точек
Оповещения из следующих источников:
- Microsoft Defender для облака
- Microsoft Defender для облачных приложений

Хотя оповещения бесплатны, за необработанные журналы данных некоторых типов, таких как Microsoft Defender XDR, Microsoft Defender для конечных точек/Identity/Office 365/Cloud Apps, Microsoft Entra ID и Azure Information Protection (AIP), взимается плата.

В следующей таблице перечислены источники данных в Microsoft Sentinel и Log Analytics, с которых не взимается плата. Дополнительные сведения см. в исключенных таблицах.

Соединители данных Microsoft Sentinel	Бесплатный тип данных
Действие Azure	AzureActivity
Мониторинг состояния для Microsoft Sentinel¹	SentinelHealth
Защита идентификаторов Microsoft Entra	SecurityAlert (IPC)
Microsoft 365	OfficeActivity (SharePoint)
	Деятельность Офиса (Exchange)
	Активность в офисе (Teams)
Microsoft Defender для облака	SecurityAlert (Центр безопасности Azure)
Microsoft Defender для Интернета вещей	SecurityAlert (Центр безопасности Azure для Интернета вещей)
Microsoft Defender XDR	Инцидент безопасности
	Уведомление о безопасности
Microsoft Defender для конечной точки	SecurityAlert (MDATP)
Microsoft Defender для идентичности	SecurityAlert (AATP)
Microsoft Defender для облачных приложений	SecurityAlert (MCAS)
Microsoft Defender для Office 365 (предварительная версия)	SecurityAlert (OATP)

¹Дополнительные сведения см. в разделе "Аудит и мониторинг работоспособности" для Microsoft Sentinel.

Для соединителей данных, которые включают как бесплатные, так и платные типы данных, выберите, какие типы данных вы хотите включить.

Дополнительные сведения о подключении источников данных, включая бесплатные и платные источники данных.

Подробнее

Следите за затратами на Microsoft Sentinel
Сокращение затрат на Microsoft Sentinel
Узнайте , как оптимизировать облачные инвестиции с помощью Microsoft Cost Management.
Узнайте больше об управлении затратами с помощью анализа затрат.
Узнайте, как предотвратить непредвиденные затраты.
Ознакомьтесь с учебным курсом по управлению затратами .
Дополнительные советы по сокращению объема данных Log Analytics см. в рекомендациях по управлению затратами в Azure Monitor.

Следующие шаги

В этой статье вы узнали, как спланировать затраты и понять выставление счетов для Microsoft Sentinel.

Развертывание Microsoft Sentinel

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-09-11