規劃成本及了解 Microsoft Sentinel 定價和計費
當您規劃 Microsoft Sentinel 部署時,您通常會想要了解其定價和計費模型,以便將成本最佳化。 Microsoft Sentinel 的安全性分析資料會儲存在 Azure 監視器 Log Analytics 工作區中。 計費以在 Microsoft Sentinel 中分析,並儲存於 Log Analytics 工作區中的資料量為準。 兩者的成本會合併在簡易定價層中。 深入了解簡易定價層,或深入了解一般 Microsoft Sentinel 定價。
在您新增 Microsoft Sentinel 的任何資源之前,請使用 Azure 定價計算機來協助預估成本。
Microsoft Sentinel 的成本只是您 Azure 帳單中每月成本的一部分。 雖然本文說明如何規劃 Microsoft Sentinel 的成本及了解其計費,但您還必須為 Azure 訂閱使用的所有 Azure 服務和資源支付費用,包括合作夥伴服務。
本文是 Microsoft Sentinel 部署指南的一部分。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
免費試用
在 Azure 監視器 Log Analytics 工作區上啟用 Microsoft Sentinel,每天前 10 GB 免費,為期 31 天。 在 31 天的試用期內,可免繳 Log Analytics 資料擷取和 Microsoft Sentinel 分析的費用 (上限為每天 10 GB)。 此免費試用受限於每個 Azure 租用戶 20 個工作區的限制。
用量若超出這些限制,則會根據 Microsoft Sentinel 定價頁面上所列的定價來收費。 自動化和自備機器學習的額外功能相關費用,在免費試用期間仍適用。
在免費試用期間,若要尋找成本管理、定型等資源,請前往 Microsoft Sentinel 的 [新聞與指南] > [免費試用] 索引標籤。 此索引標籤也會顯示免費試用日期的詳細資料,以及試用會在多少天後到期。
據以識別資料來源和規劃成本
識別您要擷取或計劃擷取到 Microsoft Sentinel 工作區的資料來源。 Microsoft Sentinel 可讓您從一或多個資料來源帶入資料。 其中一些資料來源是免費的,另一些則會產生費用。 如需詳細資訊,請參閱免費資料來源。
使用 Microsoft Sentinel 之前先預估成本和計費
使用 Microsoft Sentinel 定價計算機來估計新成本或變更的成本。 在搜尋方塊中輸入 Microsoft Sentinel,然後選取產生的 [Microsoft Sentinel] 磚。 定價計算機可協助您根據預期的資料擷取和保留來預估可能的成本。
例如,您可以輸入預期在 Microsoft Sentinel 中擷取的每日資料 GB,以及工作區所屬的區域。 計算機會提供這些元件的每月彙總成本:
- Microsoft Sentinel:分析記錄和輔助/基本記錄
- Azure 監視器:保留
- Azure 監視器:資料還原
- Azure 監視器:搜尋查詢和搜尋作業
了解 Microsoft Sentinel 的完整計費模型
Microsoft Sentinel 提供彈性且可預測的計價模式。 如需詳細資訊,請參閱 Microsoft Sentinel 定價頁面。 對於 2023 年 7 月之前的工作區,Log Analytics 工作區可能會與傳統定價層中的 Microsoft Sentinel 分開計費。 如需相關的 Log Analytics 費用,請參閱 Azure 監視器 Log Analytics 定價。
Microsoft Sentinel 會在 Azure 基礎結構上執行,當您部署新的資源時,就會產生成本。 請務必了解可能會產生其他額外的基礎結構成本。
Microsoft Sentinel 的計費方式
定價以擷取至工作區的記錄類型為準。 您大部分的高價值安全性記錄往往由分析記錄構成。 基本記錄通常是具有低安全性值的詳細資訊。 請務必注意,所有記錄類型和階層都會就個別工作區每天計費。
分析記錄
分析記錄的付費方式有兩種:隨用隨付和定額層。
隨用隨付是預設模型,以儲存的實際資料量為依據,並可選擇超過 90 天的資料保留。 資料量以 GB (109 個位元組) 計算。
Log Analytics 和 Microsoft Sentinel 具有定額層定價 (先前稱為容量保留)。 這些定價層已合併到簡易定價層中,相較於隨用隨付定價不僅更容易預測,也更能有效節省成本。
每日 100 GB 是最低的定額層定價。 任何高於承諾用量的使用量都會以您選取的定額層費率計費。 例如,每日 100 GB 的定額層會就承諾的 100 GB 資料量計費,而對每天超出的資料量 (GB),再另按該階層的有效折扣費率計費。 有效的每 GB 價格,就是 Microsoft Sentinel 價格除以階層的每日 GB 數量。 如需詳細資訊,請參閱 Microsoft Sentinel 定價。
隨著資料量增加,您可以隨時增加定額層,將成本最佳化。 要降低定額層至少需間隔 31 天。 若要查看您目前的 Microsoft Sentinel 定價層,請選取 Microsoft Sentinel 中的 [設定],然後選取 [定價] 索引標籤。您目前的定價層會標示為目前階層。
若要設定和變更您的定額層,請參閱設定或變更定價層。 將 2023 年 7 月之前的任何工作區切換至簡易定價層體驗,以統一計費計量。 或者,繼續使用將 Log Analytics 定價與 Microsoft Sentinel 傳統定價分開的傳統定價層。 如需詳細資訊,請參閱簡易定價層。
輔助記錄和基本記錄
基本記錄是低成本選項,而輔助記錄是超低成本選項,用於擷取大量、低值資料來源。 它們會以每 GB 統一價格的低費率收費。 其具有下列限制,以及其他限制:
- 查詢功能較少
- 30 天互動式保留
- 不支援排程警示
這兩種記錄類型最適用於劇本自動化、臨機查詢、調查和搜尋。 如需詳細資訊,請參閱
若要深入了解互動式保留與長期保留之間的差異 (先前稱為封存),請參閱 管理 Log Analytics 工作區中的資料保留。
重要
Auxiliary 記錄的記錄類型目前是預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
簡易定價層
簡易定價層將 Microsoft Sentinel 的資料分析成本與 Log Analytics 的擷取儲存成本合併到單一定價層中。 下列螢幕擷取畫面顯示所有新的工作區使用的簡易定價層。
將任何以傳統定價層設定的工作區切換至簡易定價層。 如需如何切換至新定價的詳細資訊,請參閱在簡易定價層中註冊。
合併定價層可以簡化整體的計費和成本管理體驗 (包括定價頁面中的視覺效果),並精簡在 Azure 計算機中估計成本所需的步驟。 為了讓新的簡易定價層發揮更大的價值,目前的 Microsoft Defender for Servers P2 權益 (可將 500 MB 的安全性資料擷取至 Log Analytics) 已延伸至簡易定價層。 對於受此方式保護的每個虛擬機器 (VM),這項變更大幅提升了將已擷取的合格資料導入 Microsoft Sentinel 中的經濟效益。 如需詳細資訊,請參閱常見問題 - 授與 500 MB 配額的 Microsoft Defender for Servers P2 權益。
了解您的 Microsoft Sentinel 帳單
可計費計量是會出現在帳單上,也會顯示在 Microsoft 成本管理中的個別服務元件。 在您的計費週期結束時,將會加總各項計量的費用。 您的帳單或發票會顯示所有 Microsoft Sentinel 成本的區段。 每個計量都有個別的明細。
若要查看您的 Azure 帳單,請在 [成本管理] 的左側導覽中選取 [成本分析]。 在 [成本分析] 畫面上,從 [所有檢視] 尋找並選取 [發票詳細資料]。
下圖中的成本僅為範例, 無法反映實際成本。 自 2023 年 7 月 1 日起,舊版定價層前面會加上傳統二字。
Microsoft Sentinel 和 Log Analytics 費用可能會根據您選取的定價方案,以個別明細項目的形式出現在 Azure 帳單上。 簡易定價層的定價層會顯示為單一 sentinel
明細項目。 擷取和分析都會每日計費。 如果您的工作區在任一天超過其定額層使用量配置,Azure 帳單將會顯示一個定額層明細項目及其相關聯的固定成本,並針對超過定額層的成本顯示另一個明細項目,以相同的有效定額層費率計費。
如果以簡易定額層費率計費,此資料表會顯示 Microsoft Sentinel 成本在 Azure 帳單的 [服務名稱] 和 [計量] 資料行中的呈現方式。
成本描述 | 服務名稱 | 計量 |
---|---|---|
Microsoft Sentinel 定額層 | Sentinel |
n GB 定額層 |
Microsoft Sentinel 定額層超額 | Sentinel |
分析 |
了解如何檢視及下載您的 Azure 計費。
其他服務的成本和定價
Microsoft Sentinel 與許多其他 Azure 服務整合,包括 Azure Logic Apps、Azure Notebooks,以及自備機器學習服務 (BYOML) 模型。 其中一些服務可能會產生額外費用。 Microsoft Sentinel 的某些資料連接器和解決方案會使用 Azure Functions 進行資料擷取,這也會有個別的相關聯成本。
了解這些服務的定價:
您使用的任何其他服務可能會有相關聯的成本。
互動式和長期資料保留成本
在 Log Analytics 工作區啟用 Microsoft Sentinel 後,請考慮使用下列設定選項:
- 在前 90 天內免費保留所有擷取到工作區中的資料。 超過 90 天的保留期會根據標準 Log Analytics 保留價格收費。
- 為個別資料類型指定不同的保留設定。 了解不同資料類型的保留期。
- 啟用資料的長期保留,以取得歷程記錄的存取權。 長期保留是一種低成本的保留狀態,用於保留例如法規合規性等的資料。 會根據儲存和掃描的資料量來收費。 了解如何在 Azure 監視器記錄中設定互動式和長期資料保留原則。
- 在輔助記錄計劃中註冊包含次要安全性資料的資料表。 此計劃可讓您以低價格儲存大量、低值記錄,並在一開始透過低成本的 30 天互動式保留期間允許摘要和基本查詢。 若要深入了解輔助記錄計劃和其他計劃,請參閱 Microsoft Sentinel 中的記錄保留計劃。
其他 CEF 擷取成本
CEF 是 Microsoft Sentinel 中支援的 Syslog 事件格式。 使用 CEF 將各種來源的重要安全性資訊導入 Microsoft Sentinel 工作區中。 CEF 記錄會落在 Microsoft Sentinel 的 CommonSecurityLog 資料表中,其中包含所有標準最新 CEF 欄位。
許多裝置和資料來源都支援記錄超出標準 CEF 結構描述的欄位。 這些額外欄位會落在 AdditionalExtensions 資料表中。 這些欄位可能會比標準 CEF 欄位有更高的擷取數量,因為這些欄位中的事件內容可能是變動的。
資源刪除之後可能會產生的成本
移除 Microsoft Sentinel 並不會移除已部署 Microsoft Sentinel 的 Log Analytics 工作區,或工作區可能產生的任何個別費用。
免費資料來源
下列資料來源對於 Microsoft Sentinel 是免費的:
- Azure 活動記錄
- Microsoft Sentinel 健康情況
- Office 365 稽核記錄,包括所有 SharePoint 活動、Exchange 系統管理活動和 Teams
- 安全性警示,包括來自下列來源的警示:
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- 適用於雲端的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於雲端應用程式的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 來自下列來源的警示:
- 適用於雲端的 Microsoft Defender
- Microsoft Defender for Cloud Apps
雖然警示為免費,但某些 Microsoft Defender 全面偵測回應、適用於 Endpoint/Identity/Office 365/Cloud Apps 的 Defender、Microsoft Entra ID 和 Azure 資訊保護 (AIP) 資料類型的原始記錄則需付費。
下表列出 Microsoft Sentinel 和 Log Analytics 中不收費的資料來源。 如需詳細資訊,請參閱排除的資料表。
Microsoft Sentinel 資料連接器 | 免費資料類型 |
---|---|
Azure 活動記錄 | AzureActivity |
Microsoft Sentinel 的狀況監控 1 | SentinelHealth |
Microsoft Entra ID Protection | SecurityAlert (IPC) |
Office 365 | OfficeActivity (SharePoint) |
OfficeActivity (Exchange) | |
OfficeActivity (Teams) | |
適用於雲端的 Microsoft Defender | SecurityAlert (適用於雲端的 Defender) |
適用於 IoT 的 Microsoft Defender (部分機器翻譯) | SecurityAlert (適用於 IoT 的 Defender) |
Microsoft Defender 全面偵測回應 (部分機器翻譯) | SecurityIncident |
SecurityAlert | |
適用於端點的 Microsoft Defender | SecurityAlert (MDATP) |
適用於身分識別的 Microsoft Defender | SecurityAlert (AATP) |
適用於雲端應用程式的 Microsoft Defender | SecurityAlert (Defender for Cloud Apps) |
1 如需詳細資訊,請參閱 Microsoft Sentinel 的稽核和狀況監控。
對於同時包含免費和付費資料類型的資料連接器,請選取您要啟用的資料類型。
深入了解如何連結資料來源,包括免費和付費資料來源。
深入了解
- 監視 Microsoft Sentinel 的成本
- 降低 Microsoft Sentinel 的成本
- 了解如何透過 Microsoft 成本管理將雲端投資最佳化。
- 深入了解如何使用成本分析管理成本。
- 了解如何避免非預期成本。
- 參加成本管理引導式學習課程。
- 如需減少 Log Analytics 資料量的其他秘訣,請參閱 Azure 監視器最佳做法 - 成本管理。
下一步
在本文中,您已了解如何規劃成本,並了解 Microsoft Sentinel 計費。