重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
Microsoft Sentinel的成本只是Azure帐单中每月成本的一部分。 尽管本文介绍了如何规划成本并了解Microsoft Sentinel的计费,但Azure订阅使用的所有Azure服务和资源(包括合作伙伴服务)都会向你计费。
本文是Microsoft Sentinel部署指南的一部分。
免费试用
在 Azure Monitor Log Analytics 工作区启用 Microsoft Sentinel,通过 Analytics 日志计划每天引入的前 10 GB 数据在 31 天内免费。 在为期 31 天的试用期内,对于 Log Analytics 数据接收和 Microsoft Sentinel 分析的费用,在 10 GB/天 的限制内将予以免除。 此免费试用版受每个Azure租户 20 个工作区的限制。
有关超出这些限制的使用方式的信息,请参阅 Microsoft Sentinel 定价页。 在免费试用期间,与用于自动化和自带机器学习的额外功能相关的费用仍然适用。
在免费试用期间,请在 Azure 门户Microsoft Sentinel的 Guides > 选项卡上查找成本管理、培训等资源。 此选项卡还显示有关免费试用日期的详细信息,以及试用过期前还剩多少天。
了解Microsoft Sentinel的完整计费模型
Microsoft Sentinel提供了灵活的可预测定价模型。 有关详细信息,请参阅 Microsoft Sentinel 定价页。 早于 2023 年 7 月的工作区可能 Log Analytics 工作区费用与 Microsoft Sentinel 在经典定价层中分开。 关于Log Analytics的相关费用,请参阅 Azure Monitor Log Analytics 定价。
Microsoft Sentinel 在你部署新资源时会在 Azure 基础架构上运行,该基础架构会产生成本。 请务必了解,可能会有其他额外的基础结构成本产生。
Microsoft Sentinel的收费方式如何
定价基于数据导入到的层级。
分析层
可通过两种方法为分析层付费: 即用即付 层和 承诺层。
即用即付是默认模型,基于存储的实际数据量,并且可以选择超过 90 天的数据保留。 数据量以 GB 为单位(109 字节)。
Log Analytics和Microsoft Sentinel具有承诺层定价,以前称为容量预留。 与 即用即付 定价相比,这些定价层合并为简化的定价层,这些定价层更具可预测性,并提供大量节省成本。
承诺层 定价从每天 100 GB 开始。 超过承诺级别的任何使用量都按所选的承诺层级费率进行计费。 例如,如果承诺层级为每日 100 GB,则会按照 100 GB 的承诺数据量计费,对于每天超出的任何数据量 (GB),则按照该层级的有效折扣价格进行计费。 每 GB 的有效价格只是Microsoft Sentinel 价格除以每天Tier GB 的数量。 有关详细信息,请参阅 Microsoft Sentinel 定价。
随着数据量的增加,可随时增加承诺层级来优化成本。 只允许每 31 天降低一次承诺层级。 若要查看当前的Microsoft Sentinel定价层,请在 Microsoft Sentinel 中选择 Settings,然后选择 pricing 选项卡。当前定价层标记为 Current 层。
要设置和更改承诺层级,请参阅设置或更改定价层级。 将 2023 年 7 月之前的任何工作区切换到简化的定价层体验,以统一计费计量。 或者,继续使用将Log Analytics定价与经典Microsoft Sentinel经典定价分开的经典定价层。
其他服务的成本和定价
Microsoft Sentinel与其他许多Azure服务集成,包括Azure Logic Apps、Azure笔记本以及自带机器学习(BYOML)模型。 其中一些服务可能需要额外付费。 某些Microsoft Sentinel的数据连接器和解决方案使用Azure Functions进行数据引入,这些数据引入也具有单独的关联成本。
了解这些服务的定价:
你使用的其他任何服务都有关联的成本。
交互式和总数据保留成本
在Log Analytics工作区上启用Microsoft Sentinel后,请考虑以下配置选项:
- 初始 90 天内,无需费用即可保留工作区中引入的所有数据。 保留期超过 90 天按标准 Log Analytics 保留价格收费。
- 为各个数据类型指定不同的保留设置。 了解按数据类型分类的保留期。
其他 CEF 引入成本
CEF 是Microsoft Sentinel支持的 Syslog 事件格式。 使用 CEF 将来自各种源的宝贵安全信息引入Microsoft Sentinel工作区。 CEF 日志位于 Microsoft Sentinel 的 CommonSecurityLog 表中,其中包括所有最新的标准 CEF 字段。
许多设备和数据源都支持记录标准 CEF 架构以外的字段。 这些额外的字段将记录在 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段,因为这些字段中的事件内容可能是变化的。
删除资源后可能会累计的成本
删除 Microsoft Sentinel 不会删除其部署所在的 Log Analytics 工作区,也不会取消该工作区可能产生的任何单独费用。
免费数据源
以下数据源在 Microsoft Sentinel 中是免费的:
- Azure活动日志
- Microsoft Sentinel运行状况
- Office 365审核日志,包括所有SharePoint活动、Exchange管理活动和 Teams
- 安全警报,包括来自Microsoft Defender for Cloud的警报。
尽管警报是免费的,但某些数据类型的原始日志会被计费。
下表列出了未收费的Microsoft Sentinel和Log Analytics中的数据源。 有关详细信息,请参阅排除项表。
| Microsoft Sentinel数据连接器 | 自由数据类型 |
|---|---|
| Azure Activity | AzureActivity |
| Microsoft Sentinel 的健康监测1 | SentinelHealth |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Azure Security Center) |
1 有关详细信息,请参阅 Microsoft Sentinel 的审计和健康监控。
对于同时包含免费和付费数据类型的数据连接器,请选择要启用的数据类型。
详细了解如何连接数据源,包括免费数据源和付费数据源。
了解更多
- 降低 Microsoft Sentinel 的成本
- 了解 如何使用 Azure Cost Management 优化云投资。
- 详细了解如何通过成本分析来管理成本。
- 了解如何防止意外成本。
- 有关减少Log Analytics数据量的详细信息,请参阅Azure Monitor最佳做法 - 成本管理。