规划成本并了解 Microsoft Sentinel 定价和计费

规划 Microsoft Sentinel 部署时，通常要了解其定价和计费模式，以便优化成本。 Microsoft Sentinel 的安全分析数据存储在 Azure Monitor Log Analytics 工作区中。 计费基于 Microsoft Sentinel 中分析的数据量，以及 Azure Monitor Log Analytics 工作区中存储的数据量。 两者的成本合并在一个简化的定价层中。 详细了解简化定价层或详细了解通用的 Microsoft Sentinel 定价。

Microsoft Sentinel 的成本只是 Azure 帐单中每月成本的一部分。 尽管本文介绍了如何为 Microsoft Sentinel 计划成本并了解其计费，但你需要为 Azure 订阅使用的所有 Azure 服务和资源（包括合作伙伴服务）付费。

本文是 Microsoft Sentinel 部署指南的一部分。

免费试用

在 Azure Monitor Log Analytics 工作区上启用 Microsoft Sentinel，每天前 10GB 免费，持续 31 天。 在 31 天的试用期内，最多 10 GB/天的 Log Analytics 数据引入和 Microsoft Sentinel 分析费用将被免除。 此免费试用版存在每个 Azure 租户 20 个工作区的限制。

请参阅 Microsoft Sentinel 定价 页，了解有关超出这些限制的使用情况如何收费的信息。 在免费试用期间，与用于自动化和自带机器学习的额外功能相关的费用仍然适用。

在免费试用期间，在 Azure 门户的Microsoft Sentinel 的“ 指南 > 免费试用版 ”选项卡上查找成本管理、培训等资源。 此选项卡还显示有关免费试用日期的详细信息，以及试用过期前还剩多少天。

了解 Microsoft Sentinel 的完整计费模型

Microsoft Sentinel 提供灵活、可预测的定价模型。 要了解详情，请参阅 Microsoft Sentinel 定价页面。 在经典定价层中，早于 2023 年 7 月的 Log Analytics 工作区会与 Microsoft Sentinel 分开收费。 要了解相关的 Log Analytics 费用，请参阅 Azure Monitor Log Analytics 定价。

Microsoft Sentinel 在 Azure 基础结构上运行，部署新资源时，该基础结构会随之产生成本。 请务必了解，可能会有其他额外的基础结构成本产生。

Microsoft Sentinel 的收费方式

定价基于数据导入到的层级。

分析日志

有两种为分析日志付费的方式：“即用即付”和“承诺层级”。

• 即用即付是默认模型，基于存储的实际数据量，并且可以选择超过 90 天的数据保留。 数据卷以 GB 为单位（10⁹ 字节）。

• Log Analytics 和 Microsoft Sentinel 采用“承诺层级”定价，以前称为“产能预留”。 此类定价层合并到简化的定价层，相比“即用即付”定价可预测性更强，并能节省可观的成本。

  承诺层级定价的最低收费标准为每天 100 GB。 超过承诺级别的任何使用量都按所选的承诺层级费率进行计费。 例如，如果承诺层级为每日 100 GB，则会按照 100 GB 的承诺数据量计费，对于每天超出的任何数据量 (GB)，则按照该层级的有效折扣价格进行计费。 “有效的每 GB 价格”就是“Microsoft Sentinel 价格”除以层级的每日 GB 数量。 要了解详情，请参阅 Microsoft Sentinel 定价。

  随着数据量的增加，可随时增加承诺层级来优化成本。 只允许每 31 天降低一次承诺层级。 要查看当前的 Microsoft Sentinel 定价层级，请在 Microsoft Sentinel 中选择“设置”，然后选择“定价”选项卡。当前定价层标记为“当前层”。

  要设置和更改承诺层级，请参阅设置或更改定价层级。 将 2023 年 7 月之前的任何工作区切换到简化的定价层体验，以统一计费计量。 或者继续使用经典定价层，其中的 Log Analytics 定价与经典 Microsoft Sentinel 经典定价是分开的。 有关详细信息，请参阅简化的定价层。

基本日志

基本日志价格已降低，按每 GB 固定费率收费。 基本日志具有以下限制：

• 查询功能减少
• 30 天交互式保留期
• 不支持计划警报

基本日志最适合用于 playbook 自动化、临时查询、调查和搜索。 有关详细信息，请参阅在 Azure Monitor 中配置基本日志。

简化的定价层

简化的定价层将 Microsoft Sentinel 的数据分析成本和 Log Analytics 的引入存储成本合并到单个定价层中。 以下屏幕截图显示了所有新工作区使用的简化定价层。

将配置有经典定价层的任何工作区切换到简化的定价层。 有关如何切换到新定价的详细信息，请参阅注册简化的定价层。

将两种定价层结合在一起可以简化整体的计划和成本管理体验，包括定价页中的可视化，以及以更少的步骤在 Azure 计算器中估算成本。 为了进一步增加新的简化层的价值，当前的 Microsoft Defender for Servers P2 权益（每天向 Log Analytics 引入 500 MB 安全数据）已扩展至简化的定价层。 对于以此方式受到保护的每个虚拟机 (VM) 而言，此项更改大大增加了将合格数据引入 Microsoft Sentinel 的经济效益。

其他服务的成本和定价

Microsoft Sentinel 与许多其他 Azure 服务（包括 Azure 逻辑应用、Azure Notebooks）集成，并自带机器学习 (BYOML) 模型。 其中一些服务可能需要额外付费。 一些 Microsoft Sentinel 的数据连接器和解决方案使用 Azure Functions 进行数据引入，这也会产生单独的相关成本。

了解这些服务的定价：

• 自动化逻辑应用定价
• Notebooks 定价
• Azure Functions 定价

你使用的其他任何服务都有关联的成本。

交互式和总数据保留成本

在 Log Analytics 工作区上启用 Microsoft Sentinel 后，请考虑以下配置选项：

• 最初的 90 天内免费保留工作区中引入的所有数据。 保留天数超过 90 天后，将按照 Log Analytics 保留价格标准进行计费。
• 为各个数据类型指定不同的保留设置。 了解按数据类型分类的保留期。

其他 CEF 引入成本

Microsoft Sentinel 中支持以 CEF 作为 Syslog 事件格式。 使用 CEF 将各种源中有价值的安全信息引入 Microsoft Sentinel 工作区中。 CEF 日志位于 Microsoft Sentinel 中的 CommonSecurityLog 表中，其中包含所有标准的最新 CEF 字段。

许多设备和数据源都支持记录标准 CEF 架构以外的字段。 这些额外的字段将记录在 AdditionalExtensions 表中。 这些字段的引入量可能高于标准 CEF 字段，因为这些字段中的事件内容可能是变化的。

删除资源后可能会累计的成本

删除 Microsoft Sentinel 不会删除部署 Microsoft Sentinel 的 Log Analytics 工作区，也不会消除该工作区可能产生的任何单独费用。

免费数据源

Microsoft Sentinel 可免费使用以下数据源：

• Azure 活动日志
• Microsoft Sentinel 运行状况
• Office 365 审核日志，包括所有 SharePoint 活动、Exchange 管理员活动和 Teams
• 安全警报，包括来自 Microsoft Defender for Cloud 的警报。
• Microsoft Defender for Cloud 警报。

尽管警报是免费的，但某些数据类型的原始日志会被计费。

下表列出了 Microsoft Sentinel 和 Log Analytics 中不收费的数据源。 有关详细信息，请参阅排除项表。

¹有关详细信息，请参阅 Microsoft Sentinel 的审核和运行状况监视。

对于同时包含免费和付费数据类型的数据连接器，请选择要启用的数据类型。

详细了解如何连接数据源，包括免费数据源和付费数据源。

了解更多

• Microsoft Sentinel 的成本
• 了解如何通过 Azure 成本管理优化云投资。
• 详细了解如何通过成本分析来管理成本。
• 了解如何防止意外成本。
• 有关减少 Log Analytics 数据量的更多提示，请参阅 Azure Monitor 最佳做法 - 成本管理。

后续步骤

在本文中，你学习了如何规划成本和了解 Microsoft Sentinel 的计费方式。