Planera kostnader och förstå priser och fakturering för Microsoft Sentinel

När du planerar din Microsoft Sentinel-distribution vill du vanligtvis förstå dess prissättnings- och faktureringsmodeller för att optimera dina kostnader. Microsoft Sentinels säkerhetsanalysdata lagras på en Azure Monitor Log Analytics-arbetsyta. Faktureringen baseras på mängden data som analyseras i Microsoft Sentinel och lagras på Log Analytics-arbetsytan. Kostnaden för båda kombineras på en förenklad prisnivå. Läs mer om de förenklade prisnivåerna eller läs mer om Microsoft Sentinel-priser i allmänhet.

Innan du lägger till resurser för Microsoft Sentinel använder du priskalkylatorn för Azure för att beräkna dina kostnader.

Kostnader för Microsoft Sentinel är bara en del av de månatliga kostnaderna i din Azure-faktura. Även om den här artikeln förklarar hur du planerar kostnader och förstår faktureringen för Microsoft Sentinel debiteras du för alla Azure-tjänster och resurser som din Azure-prenumeration använder, inklusive partnertjänster.

Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Kostnadsfri utvärderingsversion

Aktivera Microsoft Sentinel på en Azure Monitor Log Analytics-arbetsyta och de första 10 GB/dag är kostnadsfria i 31 dagar. Kostnaden för både Log Analytics-datainmatning och Microsoft Sentinel-analysavgifter upp till gränsen på 10 GB/dag undantas under utvärderingsperioden på 31 dagar. Den här kostnadsfria utvärderingsversionen omfattas av en gräns på 20 arbetsytor per Azure-klientorganisation.

Användning utöver dessa gränser debiteras enligt de priser som anges på prissättningssidan för Microsoft Sentinel. Avgifter relaterade till extra funktioner för automatisering och bring your own machine learning gäller fortfarande under den kostnadsfria utvärderingsversionen.

Under den kostnadsfria utvärderingsversionen hittar du resurser för kostnadshantering, utbildning med mera på fliken Nyheter och guider > Kostnadsfri utvärderingsversion i Microsoft Sentinel. På den här fliken visas även information om datumen för den kostnadsfria utvärderingsversionen och hur många dagar som återstår tills utvärderingsversionen upphör att gälla.

Identifiera datakällor och planera kostnader i enlighet med detta

Identifiera de datakällor som du matar in eller planerar att mata in till din arbetsyta i Microsoft Sentinel. Med Microsoft Sentinel kan du hämta data från en eller flera datakällor. Vissa av dessa datakällor är kostnadsfria och andra debiteras. Mer information finns i Kostnadsfria datakällor.

Beräkna kostnader och fakturering innan du använder Microsoft Sentinel

Använd priskalkylatorn för Microsoft Sentinel för att beräkna nya eller ändrade kostnader. Ange Microsoft Sentinel i sökrutan och välj den resulterande Microsoft Sentinel-panelen. Priskalkylatorn hjälper dig att beräkna dina sannolika kostnader baserat på förväntad datainmatning och kvarhållning.

Ange till exempel GB med dagliga data som du förväntar dig att mata in i Microsoft Sentinel och regionen för din arbetsyta. Kalkylatorn tillhandahåller den aggregerade månadskostnaden för dessa komponenter:

  • Microsoft Sentinel: Analysloggar och tilläggsloggar/grundläggande loggar
  • Azure Monitor: Kvarhållning
  • Azure Monitor: Dataåterställning
  • Azure Monitor: Sökfrågor och sökjobb

Förstå den fullständiga faktureringsmodellen för Microsoft Sentinel

Microsoft Sentinel erbjuder en flexibel och förutsägbar prismodell. Mer information finns på prissättningssidan för Microsoft Sentinel. Arbetsytor som är äldre än juli 2023 kan ha Log Analytics-arbetsyteavgifter separat från Microsoft Sentinel på en klassisk prisnivå. Relaterade Log Analytics-avgifter finns i Prissättning för Azure Monitor Log Analytics.

Microsoft Sentinel körs på Azure-infrastruktur som ackumulerar kostnader när du distribuerar nya resurser. Det är viktigt att förstå att det kan finnas andra extra infrastrukturkostnader som kan uppstå.

Så här debiteras du för Microsoft Sentinel

Prissättningen baseras på de typer av loggar som matas in på en arbetsyta. Analysloggar utgör vanligtvis de flesta av dina säkerhetsloggar med högt värde. Grundläggande loggar tenderar att vara utförliga med lågt säkerhetsvärde. Det är viktigt att observera att fakturering sker per arbetsyta dagligen för alla loggtyper och nivåer.

Analysloggar

Det finns två sätt att betala för analysloggarna: betala per användning och åtagandenivåer.

  • Betala per användning är standardmodellen, baserat på den faktiska datavolymen som lagras och eventuellt för datakvarhållning längre än 90 dagar. Datavolymen mäts i GB (109 byte).

  • Log Analytics och Microsoft Sentinel har priser på åtagandenivå , tidigare kallade kapacitetsreservationer. Dessa prisnivåer kombineras till förenklade prisnivåer som är mer förutsägbara och erbjuder betydande besparingar jämfört med prissättningen betala per användning .

    Priser på åtagandenivå börjar på 100 GB per dag. All användning över åtagandenivån faktureras enligt den åtagandenivå som du har valt. Till exempel debiterar en åtagandenivå på 100 GB per dag dig för den incheckade datavolymen på 100 GB, plus eventuella extra GB/dag till det rabatterade effektiva priset för den nivån. Det effektiva priset per GB är helt enkelt Microsoft Sentinel-priset dividerat med kvantiteten Nivå GB per dag. Mer information finns i Priser för Microsoft Sentinel.

    Öka åtagandenivån när som helst för att optimera kostnaderna när datavolymen ökar. Det går bara att sänka åtagandenivån var 31:e dag. Om du vill se din aktuella prisnivå för Microsoft Sentinel väljer du Inställningar i Microsoft Sentinel och väljer sedan fliken Priser . Din aktuella prisnivå är markerad som Aktuell nivå.

    Information om hur du anger och ändrar din åtagandenivå finns i Ange eller ändra prisnivå. Växla alla arbetsytor som är äldre än juli 2023 till den förenklade prisnivåupplevelsen för att förena faktureringsmätare. Eller fortsätt att använda de klassiska prisnivåerna som skiljer ut Log Analytics-prissättningen från den klassiska klassiska Microsoft Sentinel-prissättningen. Mer information finns i förenklade prisnivåer.

Tilläggsloggar och Grundläggande loggar

Grundläggande loggar är ett lågkostnadsalternativ och Extra loggar ett alternativ med superlåg kostnad för att mata in datakällor med höga volymer och låga värden. De debiteras till ett fast, lågt pris per GB. De har bland annat följande begränsningar:

  • Begränsade frågefunktioner
  • Interaktiv kvarhållning på 30 dagar
  • Inget stöd för schemalagda aviseringar

De här två loggtyperna passar bäst för användning i spelboksautomatisering, ad hoc-frågor, undersökningar och sökning. Mer information finns i:

Mer information om skillnaden mellan interaktiv kvarhållning och långsiktig kvarhållning (kallades tidigare arkiv) finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

Viktigt!

Loggtypen Tilläggsloggar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förenklade prisnivåer

Förenklade prisnivåer kombinerar dataanalyskostnaderna för Microsoft Sentinel och inmatningslagringskostnader för Log Analytics till en enda prisnivå. Följande skärmbild visar den förenklade prisnivån som alla nya arbetsytor använder.

Skärmbild som visar en förenklad prisnivå.

Växla alla arbetsytor som konfigurerats med klassiska prisnivåer till de förenklade prisnivåerna. Mer information om hur du byter till nya priser finns i Registrera dig på en förenklad prisnivå.

Att kombinera prisnivåerna innebär en förenkling av den övergripande fakturerings- och kostnadshanteringsupplevelsen, inklusive visualisering på prissidan, och färre steg som beräknar kostnaderna i Azure-kalkylatorn. Om du vill lägga till ytterligare värde på de nya förenklade nivåerna utökas den aktuella Microsoft Defender for Servers P2-förmånen som beviljar 500 MB säkerhetsdatainmatning till Log Analytics till de förenklade prisnivåerna. Den här ändringen ökar avsevärt den ekonomiska fördelen med att använda berättigade data som matas in i Microsoft Sentinel för varje virtuell dator (VM) som skyddas på det här sättet. Mer information finns i Vanliga frågor och svar – Microsoft Defender för servrar P2-förmån som beviljar 500 MB.

Förstå din Microsoft Sentinel-faktura

Fakturerbara mätare är de enskilda komponenterna i din tjänst som visas på din faktura och visas i Microsoft Cost Management. I slutet av faktureringsperioden summeras avgifterna för varje mätare. Din faktura visar ett avsnitt för alla Microsoft Sentinel-kostnader. Det finns ett separat radobjekt för varje mätare.

Om du vill se din Azure-faktura väljer du Kostnadsanalys i det vänstra navigeringsfältet i Cost Management. På skärmen Kostnadsanalys letar du upp och väljer Fakturainformation från Alla vyer.

Kostnaderna som visas i följande bild är endast i exempelsyfte. De är inte avsedda att återspegla faktiska kostnader. Från och med den 1 juli 2023 prefixeras äldre prisnivåer med klassiska.

Skärmbild som visar Avsnittet Microsoft Sentinel i en Azure-exempelfaktura som hjälper dig att beräkna kostnaderna.

Microsoft Sentinel- och Log Analytics-avgifter kan visas på din Azure-faktura som separata radobjekt baserat på din valda prisplan. Förenklade prisnivåer representeras som ett enda sentinel radobjekt för prisnivån. Inmatning och analys faktureras dagligen. Om din arbetsyta överskrider sin användningsallokering på åtagandenivå under en viss dag, visar Azure-fakturan ett radobjekt för åtagandenivån med dess associerade fasta kostnad och en separat radartikel för kostnaden utöver åtagandenivån, fakturerad med samma effektiva åtagandenivåkostnad.

Följande flikar visar hur Microsoft Sentinel-kostnader visas i kolumnerna Tjänstnamn och Mätar för din Azure-faktura beroende på din förenklade prisnivå.

Om du debiteras med den förenklade åtagandenivån visar den här tabellen hur Microsoft Sentinel-kostnader visas i kolumnerna Tjänstnamn och Mätar för din Azure-faktura.

Kostnadsbeskrivning Servicenamn Meter
Åtagandenivå för Microsoft Sentinel Sentinel n GB-åtagandenivå
Överförbrukning av Microsoft Sentinel-åtagandenivå Sentinel Analys

Lär dig hur du visar och laddar ned din Azure-faktura.

Kostnader och priser för andra tjänster

Microsoft Sentinel integreras med många andra Azure-tjänster, inklusive Azure Logic Apps, Azure Notebooks och BYOML-modeller (Bring Your Own Machine Learning). Vissa av dessa tjänster kan ha extra avgifter. Vissa av Microsoft Sentinels dataanslutningar och lösningar använder Azure Functions för datainmatning, som också har en separat associerad kostnad.

Läs mer om priser för dessa tjänster:

Andra tjänster som du använder kan ha tillhörande kostnader.

Interaktiva och långsiktiga kostnader för datakvarhållning

När du har aktiverat Microsoft Sentinel på en Log Analytics-arbetsyta bör du överväga följande konfigurationsalternativ:

  • Behåll alla data som matas in på arbetsytan utan kostnad under de första 90 dagarna. Kvarhållning efter 90 dagar debiteras enligt standardpriserna för Log Analytics-kvarhållning.
  • Ange olika kvarhållningsinställningar för enskilda datatyper. Lär dig mer om kvarhållning efter datatyp.
  • Aktivera långsiktig kvarhållning för dina data så att du har åtkomst till historiska loggar. Långsiktig kvarhållning är ett lågkostnadsbevarande tillstånd för bevarande av data för till exempel regelefterlevnad. Den debiteras baserat på mängden data som lagras och genomsöks. Lär dig hur du konfigurerar interaktiva och långsiktiga principer för datakvarhållning i Azure Monitor-loggar.
  • Registrera tabeller som innehåller sekundära säkerhetsdata i tilläggsloggplanen. Med den här planen kan du lagra loggar med höga volymer med låga värden till ett lågt pris, med en interaktiv kvarhållningsperiod på 30 dagar till en lägre kostnad i början för att möjliggöra sammanfattning och grundläggande frågor. Mer information om tilläggsloggplanen och andra planer finns i Loggkvarhållningsplaner i Microsoft Sentinel.

Andra kostnader för CEF-inmatning

CEF är ett Syslog-händelseformat som stöds i Microsoft Sentinel. Använd CEF för att hämta värdefull säkerhetsinformation från olika källor till din Microsoft Sentinel-arbetsyta. CEF-loggarna hamnar i tabellen CommonSecurityLog i Microsoft Sentinel, som innehåller alla aktuella STANDARD-CEF-fält.

Många enheter och datakällor stöder loggningsfält utöver CEF-standardschemat. De här extra fälten hamnar i tabellen AdditionalExtensions. Dessa fält kan ha högre inmatningsvolymer än standard-CEF-fälten, eftersom händelseinnehållet i dessa fält kan vara variabel.

Kostnader som kan tillkomma efter resursborttagning

Om du tar bort Microsoft Sentinel tas inte Log Analytics-arbetsytan Microsoft Sentinel bort, eller så kan det uppstå separata avgifter som arbetsytan medför.

Kostnadsfria datakällor

Följande datakällor är kostnadsfria med Microsoft Sentinel:

  • Azure-aktivitetsloggar
  • Microsoft Sentinel Health
  • Office 365-granskningsloggar, inklusive all SharePoint-aktivitet, Exchange-administratörsaktivitet och Teams
  • Säkerhetsaviseringar, inklusive aviseringar från följande källor:
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud
    • Microsoft Defender for Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender för Cloud Apps
    • Microsoft Defender för slutpunkter
  • Aviseringar från följande källor:
    • Microsoft Defender for Cloud
    • Microsoft Defender för Cloud Apps

Även om aviseringar är kostnadsfria betalas rådataloggarna för vissa datatyper för Microsoft Defender XDR, Defender för Endpoint/Identity/Office 365/Cloud Apps, Microsoft Entra ID och Azure Information Protection (AIP).

I följande tabell visas de datakällor i Microsoft Sentinel och Log Analytics som inte debiteras. Mer information finns i exkluderade tabeller.

Microsoft Sentinel-dataanslutning Typ av kostnadsfria data
Azure-aktivitetsloggar AzureActivity
Hälsoövervakning för Microsoft Sentinel 1 SentinelHealth
Microsoft Entra ID Protection SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender för molnet SecurityAlert (Defender för molnet)
Microsoft Defender för IoT SecurityAlert (Defender för IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender för Endpoint SecurityAlert (MDATP)
Microsoft Defender för identitet SecurityAlert (AATP)
Microsoft Defender för molnet-appar SecurityAlert (Defender för molnet Apps)

1 Mer information finns i Granskning och hälsoövervakning för Microsoft Sentinel.

För dataanslutningar som innehåller både kostnadsfria och betalda datatyper väljer du vilka datatyper du vill aktivera.

Skärmbild av anslutningssidan för Defender för molnet Apps, där de kostnadsfria säkerhetsaviseringar som valts och betald MCAS Shadow IT Reporting inte är aktiverad.

Läs mer om hur du ansluter datakällor, inklusive kostnadsfria och betalda datakällor.

Läs mer

Nästa steg

I den här artikeln har du lärt dig hur du planerar kostnader och förstår faktureringen för Microsoft Sentinel.