Planeje os custos e entenda os preços e a cobrança do Microsoft Sentinel

Ao planejar sua implantação do Microsoft Sentinel, você normalmente deseja entender seus modelos de preços e cobrança para otimizar seus custos. Os dados de análise de segurança do Microsoft Sentinel são armazenados em um espaço de trabalho do Azure Monitor Log Analytics. A cobrança é baseada no volume de dados analisados no Microsoft Sentinel e armazenados no espaço de trabalho do Log Analytics. O custo de ambos é combinado em um nível de preço simplificado. Saiba mais sobre os níveis de preços simplificados ou saiba mais sobre os preços do Microsoft Sentinel em geral.

Antes de adicionar quaisquer recursos para o Microsoft Sentinel, utilize a calculadora de preços do Azure para ajudar a estimar os seus custos.

Os custos do Microsoft Sentinel são apenas uma parte dos custos mensais na sua fatura do Azure. Embora este artigo explique como planejar custos e entender a cobrança do Microsoft Sentinel, você será cobrado por todos os serviços e recursos do Azure que sua assinatura do Azure usa, incluindo serviços de parceiros.

Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Avaliação gratuita

Habilite o Microsoft Sentinel em um espaço de trabalho do Azure Monitor Log Analytics e os primeiros 10 GB/dia são gratuitos por 31 dias. O custo da ingestão de dados do Log Analytics e das taxas de análise do Microsoft Sentinel até o limite de 10 GB/dia é isento durante o período de avaliação de 31 dias. Esta avaliação gratuita está sujeita a um limite de 20 áreas de trabalho por inquilino do Azure.

O uso além desses limites é cobrado de acordo com os preços listados na página de preços do Microsoft Sentinel. Cobranças relacionadas a recursos extras para automação e traga seu próprio aprendizado de máquina ainda são aplicáveis durante a avaliação gratuita.

Durante a avaliação gratuita, encontre recursos para gerenciamento de custos, treinamento e muito mais na guia Avaliação gratuita dos guias > Notícias & no Microsoft Sentinel. Esta guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam para a avaliação expirar.

Identificar fontes de dados e planejar custos de acordo

Identifique as fontes de dados que você está ingerindo ou planeja ingerir em seu espaço de trabalho no Microsoft Sentinel. O Microsoft Sentinel permite que você traga dados de uma ou mais fontes de dados. Algumas destas fontes de dados são gratuitas e outras incorrem em encargos. Para obter mais informações, consulte Fontes de dados gratuitas.

Estimar custos e faturamento antes de usar o Microsoft Sentinel

Use a calculadora de preços do Microsoft Sentinel para estimar custos novos ou alterados. Digite Microsoft Sentinel na caixa Pesquisar e selecione o bloco resultante do Microsoft Sentinel. A calculadora de preços ajudará a calcular os custos prováveis com base na ingestão e retenção de dados esperados.

Por exemplo, insira o GB de dados diários que você espera ingerir no Microsoft Sentinel e a região do seu espaço de trabalho. A calculadora fornece o custo mensal agregado entre estes componentes:

  • Microsoft Sentinel: logs do Google Analytics e logs auxiliares/básicos
  • Azure Monitor: Retenção
  • Azure Monitor: Restauração de Dados
  • Azure Monitor: Consultas de Pesquisa e Trabalhos de Pesquisa

Compreender o modelo de faturação completo do Microsoft Sentinel

O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Para obter mais informações, consulte a página de preços do Microsoft Sentinel. Espaços de trabalho anteriores a julho de 2023 podem ter cobranças de espaço de trabalho do Log Analytics separadas do Microsoft Sentinel em um nível de preço clássico. Para obter as taxas relacionadas do Log Analytics, consulte Preços do Azure Monitor Log Analytics.

O Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta novos recursos. É importante entender que pode haver outros custos extras de infraestrutura que podem se acumular.

Como você é cobrado pelo Microsoft Sentinel

O preço é baseado nos tipos de logs ingeridos em um espaço de trabalho. Os logs do Google Analytics normalmente compõem a maioria dos seus logs de segurança de alto valor. Os logs básicos tendem a ser detalhados com baixo valor de segurança. É importante observar que a cobrança é feita por espaço de trabalho diariamente para todos os tipos e camadas de log.

Logs do Google Analytics

Há duas maneiras de pagar pelos logs de análise: Pay-As-You-Go e Níveis de Compromisso.

  • O Pay-As-You-Go é o modelo padrão, baseado no volume real de dados armazenados e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (10a 9 bytes).

  • O Log Analytics e o Microsoft Sentinel têm preços de Nível de Compromisso , anteriormente chamados de Reservas de Capacidade. Esses níveis de preços são combinados em níveis de preços simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços pré-pagos .

    O preço do nível de compromisso começa em 100 GB por dia. Qualquer uso acima do nível de compromisso é cobrado de acordo com a taxa de nível de compromisso selecionada. Por exemplo, uma camada de Compromisso de 100 GB por dia cobra o volume de dados de 100 GB comprometido, mais qualquer GB/dia extra à taxa efetiva com desconto para essa camada. O preço efetivo por GB é simplesmente o preço do Microsoft Sentinel dividido pela quantidade de GB de nível por dia. Para obter mais informações, consulte Preços do Microsoft Sentinel.

    Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que o volume de dados aumenta. A redução do nível de Compromisso só é permitida a cada 31 dias. Para ver o seu nível de preços atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e, em seguida, selecione a guia Preços . Seu nível de preço atual está marcado como Nível atual.

    Para definir e alterar o nível de compromisso, consulte Definir ou alterar o nível de preço. Mude todos os espaços de trabalho anteriores a julho de 2023 para a experiência simplificada de níveis de preços para unificar os medidores de faturamento. Ou continue a usar os níveis de preços clássicos que separam os preços do Log Analytics dos preços clássicos do Microsoft Sentinel. Para obter mais informações, consulte Níveis de preços simplificados.

Logs auxiliares e logs básicos

Os logs básicos são uma opção de baixo custo e os logs auxiliares uma opção de custo superbaixo, para ingerir fontes de dados de alto volume e baixo valor. São cobrados a uma taxa fixa e baixa por GB. Têm, entre outras, as seguintes limitações:

  • Recursos de consulta reduzidos
  • Retenção interativa de 30 dias
  • Sem suporte para alertas agendados

Esses dois tipos de log são mais adequados para uso em automação de playbooks, consultas ad-hoc, investigações e pesquisa. Para obter mais informações, consulte:

Para saber mais sobre a diferença entre retenção interativa e retenção de longo prazo (anteriormente conhecida como arquivamento), consulte Gerenciar retenção de dados em um espaço de trabalho do Log Analytics.

Importante

O tipo de log Logs auxiliares está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Níveis de preços simplificados

Os níveis de preços simplificados combinam os custos de análise de dados para o Microsoft Sentinel e os custos de armazenamento de ingestão do Log Analytics em um único nível de preço. A captura de tela a seguir mostra a camada de preço simplificada que todos os novos espaços de trabalho usam.

A captura de tela mostra o nível de preço simplificado.

Mude qualquer espaço de trabalho configurado com níveis de preços clássicos para os níveis de preços simplificados. Para obter mais informações sobre como mudar para novos preços, consulte Inscrever-se em um nível de preço simplificado.

A combinação dos níveis de preços oferece uma simplificação para a experiência geral de cobrança e gerenciamento de custos, incluindo visualização na página de preços e menos etapas estimando custos na calculadora do Azure. Para agregar mais valor às novas camadas simplificadas, o benefício atual do Microsoft Defender for Servers P2, que concede 500 MB de ingestão de dados de segurança no Log Analytics, é estendido aos níveis de preços simplificados. Essa alteração aumenta consideravelmente o benefício financeiro de trazer dados elegíveis ingeridos no Microsoft Sentinel para cada máquina virtual (VM) protegida dessa maneira. Para obter mais informações, consulte Perguntas frequentes - Benefício do Microsoft Defender for Servers P2 que concede 500 MB.

Compreender a sua fatura do Microsoft Sentinel

Os contadores faturáveis são os componentes individuais do seu serviço que aparecem na sua fatura e são apresentados no Microsoft Cost Management. No fim do ciclo de faturação, são somados os custos de cada medidor. Sua fatura ou fatura mostra uma seção para todos os custos do Microsoft Sentinel. Há um item de linha separado para cada medidor.

Para ver sua fatura do Azure, selecione Análise de custos na navegação à esquerda de Gerenciamento de custos. Na tela Análise de custos, localize e selecione os detalhes da fatura em Todos os modos de exibição.

Os custos mostrados na imagem a seguir são, por exemplo, apenas para fins de finalidade. Não se destinam a refletir os custos reais. A partir de 1º de julho de 2023, os níveis de preços legados serão prefixados com o Classic.

Captura de ecrã a mostrar a secção Microsoft Sentinel de uma fatura do Azure de exemplo, para o ajudar a estimar custos.

As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados com base no seu plano de preços selecionado. Os níveis de preços simplificados são representados como um único sentinel item de linha para o nível de preços. A ingestão e a análise são faturadas diariamente. Se o seu espaço de trabalho exceder a alocação de uso da camada de Compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para a camada de Compromisso com seu custo fixo associado e um item de linha separado para o custo além da camada de Compromisso, cobrado com a mesma taxa efetiva da camada de Compromisso.

As guias a seguir mostram como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure, dependendo do seu nível de preço simplificado.

Se você for cobrado pela taxa de camada de compromisso simplificada, esta tabela mostra como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.

Descrição do custo Nome do serviço Metro
Camada de compromisso do Microsoft Sentinel Sentinel n Nível de compromisso GB
Excesso de nível de compromisso do Microsoft Sentinel Sentinel Análise

Saiba como ver e transferir a sua fatura do Azure.

Custos e preços de outros serviços

O Microsoft Sentinel integra-se com muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Blocos de Anotações do Azure e traga seus próprios modelos de aprendizado de máquina (BYOML). Alguns destes serviços poderão ter custos adicionais. Alguns dos conectores de dados e soluções do Microsoft Sentinel usam o Azure Functions para ingestão de dados, que também tem um custo associado separado.

Saiba mais sobre os preços destes serviços:

Quaisquer outros serviços que utilize podem ter custos associados.

Custos de retenção de dados interativos e de longo prazo

Depois de habilitar o Microsoft Sentinel em um espaço de trabalho do Log Analytics, considere estas opções de configuração:

  • Retenha todos os dados ingeridos no espaço de trabalho sem custos durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão do Log Analytics.
  • Especifique diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre retenção por tipo de dados.
  • Habilite a retenção de longo prazo para seus dados para que você tenha acesso aos logs históricos. A retenção de longo prazo é um estado de retenção de baixo custo para a preservação de dados para coisas como conformidade regulamentar. É cobrado com base no volume de dados armazenados e digitalizados. Saiba como configurar políticas de retenção de dados interativas e de longo prazo nos Logs do Azure Monitor.
  • Registre tabelas que contenham dados de segurança secundários no plano de logs auxiliares. Este plano permite armazenar logs de alto volume e baixo valor a um preço baixo, com um período de retenção interativo de 30 dias de baixo custo no início para permitir a sumarização e consultas básicas. Para saber mais sobre o plano de logs auxiliares e outros planos, consulte Planos de retenção de logs no Microsoft Sentinel.

Outros custos de ingestão do MIE

CEF é um formato de eventos Syslog suportado no Microsoft Sentinel. Use o CEF para trazer informações de segurança valiosas de várias fontes para seu espaço de trabalho do Microsoft Sentinel. Os logs do CEF aterrissam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos CEF padrão atualizados.

Muitos dispositivos e fontes de dados suportam campos de registro além do esquema CEF padrão. Esses campos extras vão parar na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.

Custos que podem ser acumulados após a eliminação de recursos

A remoção do Microsoft Sentinel não remove o espaço de trabalho do Log Analytics no qual o Microsoft Sentinel foi implantado nem quaisquer cobranças separadas que o espaço de trabalho possa estar incorrendo.

Fontes de dados gratuitas

As seguintes fontes de dados são gratuitas com o Microsoft Sentinel:

  • Registos de Atividade do Azure
  • Microsoft Sentinel Saúde
  • Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, atividades de administração do Exchange e Teams
  • Alertas de segurança, incluindo alertas das seguintes fontes:
    • Microsoft Defender XDR
    • Microsoft Defender para a Cloud
    • Microsoft Defender para Office 365
    • Microsoft Defender para Identidade
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender para Ponto Final
  • Alertas das seguintes fontes:
    • Microsoft Defender para a Cloud
    • Microsoft Defender for Cloud Apps

Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados Microsoft Defender XDR, Defender for Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID e Azure Information Protection (AIP) são pagos.

A tabela a seguir lista as fontes de dados no Microsoft Sentinel e no Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.

Conector de dados Microsoft Sentinel Tipo de dados livre
Registos de Atividades do Azure AzureActivity
Monitoramento de integridade do Microsoft Sentinel 1 SentinelHealth
Proteção de ID do Microsoft Entra Alerta de Segurança (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Equipas)
Microsoft Defender para Cloud SecurityAlert (Defender for Cloud)
Microsoft Defender para IoT SecurityAlert (Defender para IoT)
Microsoft Defender XDR Incidente de Segurança
Alerta de Segurança
Microsoft Defender para Ponto de Extremidade SecurityAlert (MDATP)
Microsoft Defender para identidade SecurityAlert (AATP)
Aplicativos do Microsoft Defender para Nuvem SecurityAlert (Defender para aplicativos na nuvem)

1 Para obter mais informações, consulte Auditoria e monitoramento de integridade para o Microsoft Sentinel.

Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.

Captura de ecrã da página do conector para Defender for Cloud Apps, com os alertas de segurança gratuitos selecionados e o MCAS Shadow IT Reporting pago não ativado.

Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.

Mais informações

Próximos passos

Neste artigo, você aprendeu como planejar custos e entender a cobrança do Microsoft Sentinel.