Planejar custos e entender preços e cobrança do Microsoft Sentinel

Ao planejar sua implantação do Microsoft Sentinel, você geralmente deseja entender os modelos de preços e cobrança para otimizar seus custos. Os dados da análise de segurança do Microsoft Sentinel são armazenados em um workspace do Log Analytics do Azure Monitor. A cobrança é baseada no volume de dados analisados no Microsoft Sentinel e armazenados no workspace do Log Analytics. O custo de ambos é combinado em um tipo de preço simplificado. Saiba mais sobre os tipos de preços simplificados ou saiba mais sobre os preços do Microsoft Sentinel em geral.

Antes de adicionar recursos para o Microsoft Sentinel, use a calculadora de preços do Azure para ajudar a estimar seus custos.

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais em sua fatura do Azure. Embora este artigo explique como planejar custos e entender a cobrança do Microsoft Sentinel, você receberá cobranças por todos os serviços e recursos do Azure usados na sua assinatura Azure, incluindo serviços de parceiros.

Este artigo faz parte da Guia de implantação do Microsoft Sentinel.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Avaliação gratuita

Habilite o Microsoft Sentinel em um workspace do Azure Monitor Log Analytics e os primeiros 10 GB/dia serão gratuitos por 31 dias. O custo da ingestão de dados do Log Analytics e os encargos de análise do Microsoft Sentinel até o limite de 10 GB/dia são dispensados durante o período de avaliação de 31 dias. Essa avaliação gratuita está sujeita a um limite de 20 workspaces por locatário do Azure.

O uso além desses limites é cobrado de acordo com os preços listados na página de preços do Microsoft Sentinel. Os encargos relacionados às funcionalidades adicionais de automação e Traga seu próprio aprendizado de máquina ainda são aplicáveis durante a avaliação gratuita.

Durante sua avaliação gratuita, encontre recursos de gerenciamento de custos, treinamento e muito mais na guia Notícias e guias> Avaliação gratuita no Microsoft Sentinel. Essa guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam até a expiração da avaliação.

Identificar fontes de dados e planejar custos adequadamente

Identifique as fontes de dados que você está ingerindo ou planeja ingerir em seu workspace no Microsoft Sentinel. O Microsoft Sentinel permite que você traga dados de uma ou mais fontes de dados. Algumas dessas fontes de dados são gratuitas e outras incorrem em encargos. Para saber mais, confira Fontes de dados gratuitas.

Estimar os custos e cobrança antes de usar o Microsoft Sentinel

Use a calculadora de preços do Microsoft Sentinel para estimar custos novos ou variáveis. Insira Microsoft Sentinel no campo de Pesquisa e selecione o bloco resultante do Microsoft Sentinel. A calculadora de preços ajuda você a estimar seus custos prováveis com base na retenção e na ingestão de dados esperadas.

Por exemplo, insira o GB de dados diários que você espera ingerir no Microsoft Sentinel e a região do seu espaço de trabalho. A calculadora fornece o custo mensal agregado entre estes componentes:

  • Microsoft Sentinel: logs de análise e logs auxiliares/básicos
  • Azure Monitor: Retenção
  • Azure Monitor: Restauração de Dados
  • Azure Monitor: Consultas de Pesquisas e Trabalhos de Pesquisa

Entender o modelo de cobrança completo do Microsoft Sentinel

O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, confira a página de preços do Microsoft Sentinel. Os espaços de trabalho anteriores a julho de 2023 podem ter as cobranças do workspace do Log Analytics separadas do Microsoft Sentinel em um tipo de preço clássico. Para ver os encargos relacionados do Log Analytics, confira Preços do Log Analytics do Azure Monitor.

O Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta um novo recurso. É importante entender que pode haver outros custos de infraestrutura adicionais acumulados.

Como você é cobrado pelo Microsoft Sentinel

O preço se baseia nos tipos de registros ingeridos em um espaço de trabalho. Os logs de análise normalmente compõem a maioria de seus logs de segurança de alto valor. Os logs básicos tendem a ser detalhados com baixo valor de segurança. É importante observar que a cobrança é feita por workspace diariamente para todos os tipos de log e camadas.

Logs de análise

Há duas maneiras de pagar pelo serviço dos logs de análise: Pagamento Conforme o Uso e Níveis de Compromisso.

  • Pagamento Conforme o Uso é o modelo padrão, com base no volume de dados real armazenado e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (109 bytes).

  • O Log Analytics e o Microsoft Sentinel têm preços de Nível de Compromisso, anteriormente chamados de Reservas de Capacidade. Esses tipos de preços são combinados em tipos de preços simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços de Pagamento Conforme o Uso.

    O preço do Nível de Compromisso começa com 100 GB por dia. Qualquer uso acima do nível de compromisso é cobrado com base na taxa de Nível de Compromisso selecionada. Por exemplo, um Nível de Compromisso igual a 100 GB por dia cobra você pelo volume de dados de 100 GB estabelecido no compromisso, além de GB/dia extra com base na taxa com desconto em vigor para esse nível. O Preço em vigor por GB é simplesmente o Preço do Microsoft Sentinel dividido pela quantidade de GB por dia do Nível. Para obter mais informações, consulte preços do Microsoft Azure Sentinel.

    Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que o seu volume de dados aumenta. A redução do nível de compromisso só é permitida a cada 31 dias. Para ver seu tipo de preços atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e, em seguida, selecione a guia Preços. Seu tipo de preços atual está marcada como Tipo atual.

    Para definir e alterar o nível de compromisso, confira Definir ou alterar o tipo de preço. Alterne os workspaces anteriores a julho de 2023 para a experiência simplificada de tipos de preços para unificar os medidores de cobrança. Ou continue usando os tipos de preço clássicos que separam os preços do Log Analytics do preço clássico do Microsoft Sentinel. Para obter mais informações, confira tipos de preços simplificados.

Logs Auxiliares e logs Básicos

Os logs Básicos são uma opção de baixo custo e os logs Auxiliares uma opção de custo super baixo para ingerir fontes com alto volume de dados de baixo valor. Os logs são cobrados a uma tarifa fixa e baixa por GB e têm as seguintes limitações, entre outras:

  • Recursos de consulta reduzidos
  • 30 dias de retenção interativa
  • Sem suporte para alertas agendados

Esses dois tipos de logs são mais adequados para uso em automação de guias estratégicos, consultas ad hoc, investigações e pesquisa. Para saber mais, veja:

Para saber mais sobre a diferença entre retenção interativa e retenção de longo prazo (anteriormente conhecida como arquivo morto), confira Gerenciar a retenção de dados em um workspace do Log Analytics.

Importante

O tipo de log Logs Auxiliares está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Tipos de preços simplificados

Os tipos de preços simplificadas combinam os custos de análise de dados do Microsoft Sentinel e os custos do armazenamento de ingestão do Log Analytics em um único tipo de preços. A captura de tela a seguir mostra o tipo de preço simplificado que todos os novos workspaces usam.

Captura de tela mostrando o tipo de preço simplificado.

Alterne qualquer workspace configurado com tipos de preço clássicos para os tipos de preço simplificados. Para obter mais informações sobre como Mudar para o novo preço, consulte Inscrever-se em um tipo de preço simplificado.

A combinação dos tipos de preços simplifica a experiência geral de cobrança e gerenciamento de custos, incluindo a visualização na página de preços e menos etapas para estimar os custos na calculadora do Azure. Para agregar mais valor aos novos tipos simplificados, o benefício atual do Microsoft Defender para servidores P2, que concede 500 MB de ingestão de dados de segurança no Log Analytics, foi estendido aos tipos de preços simplificados. Essa alteração aumenta muito o benefício financeiro de trazer dados elegíveis ingeridos no Microsoft Sentinel para cada VM (máquina virtual) protegida dessa maneira. Para obter mais informações, consulte Perguntas frequentes : benefício do Microsoft Defender para servidores P2 que concede 500 MB.

Entender sua fatura do Microsoft Sentinel

Os medidores faturáveis são os componentes individuais do seu serviço que aparecem na sua cobrança e são mostrados no Gerenciamento de Custos da Microsoft. Ao final do período de cobrança, os preços de cada medidor serão somados. A fatura mostrará uma seção para todos os custos do Microsoft Sentinel. Há um item em linha separada para cada medidor.

Para ver sua fatura do Azure, selecione Análise de Custos no painel de navegação esquerdo de Gerenciamento de Custos. Na tela análise de custo, localize e selecione os detalhes da fatura de Todos os modos de exibição.

Os custos mostrados na imagem a seguir são apenas para fins de exemplo. Eles não têm a finalidade de refletir os custos reais. A partir de 1º de julho de 2023, os tipos de preços antigos serão prefixados com Clássico.

Captura de tela mostrando a seção Microsoft Sentinel de uma fatura de exemplo do Azure, para ajudá-lo a estimar os custos.

As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados, com base no plano de preços selecionado. Os tipos de preços simplificados são representados como um único item de linha sentinel para o tipo de preço. A ingestão e a análise são cobradas diariamente. Se o seu workspace exceder a alocação de uso do nível de compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para o nível de compromisso com o custo fixo associado e um item de linha separado para o custo além do nível de compromisso, cobrado com base na mesma taxa em vigor do nível de compromisso.

As guias a seguir mostram como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure, dependendo do seu tipo de preços simplificado.

Se você for cobrado com base na taxa simplificada do nível de compromisso, essa tabela mostrará como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.

Descrição do custo Nome do serviço Medidor
Nível de compromisso do Microsoft Sentinel Sentinel nNível de Compromisso de GB
Excedente do nível de compromisso do Microsoft Sentinel Sentinel Análise

Saiba como visualizar e baixar sua fatura do Azure.

Custos e preços para outros serviços

O Microsoft Sentinel integra-se a muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Azure Notebooks e traga seus próprios modelos de BYOML (aprendizado de máquina). Alguns desses serviços podem ter encargos adicionais. Alguns dos conectores de dados e soluções do Microsoft Sentinel usam o Azure Functions para ingestão de dados, o que também tem um custo associado separado.

Saiba mais sobre preços para esses serviços:

Qualquer outro serviço usado pode ter custos associados.

Custos das retenções de dados interativa e de longo prazo

Depois que você habilitar o Microsoft Sentinel em um workspace do Log Analytics, considere estas opções de configuração:

  • Retenção gratuita de todos os dados ingeridos no espaço de trabalho durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
  • Especifique as diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre a retenção por tipo de dados.
  • Habilite a retenção de longo prazo para seus dados para que você tenha acesso aos logs do histórico. A retenção de longo prazo é um estado de retenção de baixo custo para preservação de dados para diversos fins, como a conformidade regulatória. Ele é cobrado com base no volume de dados armazenados e verificados. Saiba como configurar as políticas de retenção de dados interativas e de longo prazo nos Logs do Azure Monitor.
  • Registre as tabelas que contêm dados de segurança secundários no plano de Logs Auxiliares. Esse plano permite que você armazene logs com alto volume de dados de baixo valor por um preço baixo, com uma retenção interativa econômica por um período de 30 dias para fins de resumo e consultas básicas. Para saber mais sobre o plano de logs Auxiliares e outros planos, confira Planos de retenção de logs no Microsoft Sentinel.

Custos adicionais de ingestão de CEF

O CEF é um formato de eventos de Syslog compatível com o Microsoft Sentinel. Use o CEF para trazer valiosas informações de segurança de várias fontes para seu workspace do Microsoft Sentinel. Os logs de CEF chegam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos de CEF atualizados padrão.

Muitos dispositivos e fontes de dados dão suporte a registro em log de campos além do esquema de CEF padrão. Esses campos adicionais chegam na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.

Custos que podem ser acumulados após a exclusão de recursos

A remoção do Microsoft Sentinel não remove o workspace do Log Analytics em que o Microsoft Sentinel foi implantado ou qualquer cobrança separada que o workspace pode estar incorrendo.

Fontes de dados gratuitas

As seguintes fontes de dados são gratuitas com o Microsoft Sentinel:

  • Logs de atividades do Azure
  • Microsoft Sentinel Health
  • Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, as atividades de administrador do Exchange e o Teams
  • Alertas de segurança, incluindo alertas das seguintes fontes:
    • Microsoft Defender XDR
    • Microsoft Defender para Nuvem
    • Microsoft Defender para Office 365
    • Microsoft Defender para Identidade
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender para ponto de extremidade
  • Alertas das seguintes fontes:
    • Microsoft Defender para Nuvem
    • Microsoft Defender for Cloud Apps

Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados do Microsoft Defender XDR, de aplicativos do Microsoft Defender para Nuvem/Ponto de Extremidade/Identidade/Office 365, do Microsoft Entra ID e da Proteção de Informações do Azure (AIP) são pagos.

A seguinte tabela lista as fontes de dados no Microsoft Sentinel e no Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.

Conector de dados do Microsoft Sentinel Tipo de dados gratuitos
Logs de atividades do Azure AzureActivity
Monitoramento de integridade para Microsoft Sentinel 1 SentinelHealth
Proteção do Microsoft Entra ID SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender para Nuvem SecurityAlert (Defender para Nuvem)
Microsoft Defender para IoT SecurityAlert (Defender para IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender para ponto de extremidade SecurityAlert (MDATP)
Microsoft Defender para Identidade SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (Defender para Aplicativos em Nuvem)

1 Para obter mais informações, confira Auditoria e monitoramento de integridade do Microsoft Sentinel.

Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.

Captura de tela da página do conector de dados do Defender para Aplicativos de Nuvem, com os alertas de segurança gratuitos selecionados e o Relatório de Shadow IT do MCAS pago não selecionado.

Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.

Saiba mais

Próximas etapas

Neste artigo, você aprendeu a planejar custos e entender as cobranças do Microsoft Sentinel.