Condividi tramite


Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel

Quando si pianifica la distribuzione di Microsoft Sentinel, in genere si vogliono comprendere i relativi modelli di determinazione prezzi e fatturazione per ottimizzare i costi. I dati di analisi della sicurezza di Microsoft Sentinel vengono archiviati in un'area di lavoro Log Analytics di Monitoraggio di Azure. La fatturazione si basa sul volume di dati analizzati in Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics. Il costo di entrambi è combinato in un piano tariffario semplificato. Altre informazioni sui piani tariffari semplificati o altre informazioni sui prezzi di Microsoft Sentinel in generale.

Prima di aggiungere risorse per Microsoft Sentinel, usare il calcolatore dei prezzi di Azure per stimare i costi.

I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.

Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Versione di prova gratuita

Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics di Monitoraggio di Azure e i primi 10 GB al giorno sono gratuiti per 31 giorni. Il costo per l'inserimento dati di Log Analytics e gli addebiti per l'analisi di Microsoft Sentinel fino al limite di 10 GB al giorno vengono rinunciati durante il periodo di valutazione di 31 giorni. Questa versione di valutazione gratuita è soggetta a un limite di 20 aree di lavoro per ogni tenant di Azure.

L'utilizzo oltre questi limiti viene addebitato in base ai prezzi elencati nella pagina Prezzi di Microsoft Sentinel. Gli addebiti relativi alle funzionalità aggiuntive per l'automazione e bring your own machine learning sono ancora applicabili durante la versione di valutazione gratuita.

Durante la versione di valutazione gratuita, trovare risorse per la gestione dei costi, il training e altro ancora nella scheda Notizie e guide> Versione di valutazione gratuita in Microsoft Sentinel. Questa scheda visualizza anche i dettagli sulle date della versione di valutazione gratuita e sul numero di giorni rimanenti fino alla scadenza della versione di valutazione.

Identificare le origini dati e pianificare i costi di conseguenza

Identificare le origini dati da inserire o pianificare l'inserimento nell'area di lavoro in Microsoft Sentinel. Microsoft Sentinel consente di inserire dati da una o più origini dati. Alcune di queste origini dati sono gratuite e altre comportano addebiti. Per altre informazioni, vedere Origini dati gratuite.

Stimare i costi e la fatturazione prima di usare Microsoft Sentinel

Usare il calcolatore dei prezzi di Microsoft Sentinel per stimare i costi nuovi o modificati. Immettere Microsoft Sentinel nella casella Cerca e selezionare il riquadro di Microsoft Sentinel risultante. Il calcolatore dei prezzi consente di stimare i probabili costi in base all'inserimento e alla conservazione previsti per i dati.

Ad esempio, immettere i GB di dati giornalieri che si prevede di inserire in Microsoft Sentinel e l'area per l'area di lavoro. Il calcolatore fornisce il costo mensile aggregato tra questi componenti:

  • Microsoft Sentinel: log di Analytics e log ausiliari/log di base
  • Monitoraggio di Azure: Conservazione
  • Monitoraggio di Azure: Ripristino dati
  • Monitoraggio di Azure: query di ricerca e processi di ricerca

Informazioni sul modello di fatturazione completo per Microsoft Sentinel

Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Per altre informazioni, vedere la pagina Prezzi di Microsoft Sentinel. Le aree di lavoro precedenti a luglio 2023 potrebbero avere addebiti per l'area di lavoro Log Analytics separati da Microsoft Sentinel in un piano tariffario classico. Per i relativi addebiti per Log Analytics, vedere Prezzi di Log Analytics per il Monitoraggio di Azure.

Microsoft Sentinel viene eseguito nell'infrastruttura di Azure che accumula costi quando si distribuiscono nuove risorse. È importante comprendere che potrebbero verificarsi altri costi di infrastruttura aggiuntivi che potrebbero accumularsi.

Come vengono addebitati i costi per Microsoft Sentinel

I prezzi si basano sui tipi di log inseriti in un'area di lavoro. I log di analisi costituiscono in genere la maggior parte dei log di sicurezza di alto valore. I log di base tendono a essere dettagliati con un valore di sicurezza basso. È importante notare che la fatturazione viene eseguita ogni giorno per ogni area di lavoro per tutti i tipi di log e i livelli.

Log di analisi

Esistono due modi per pagare i log di analisi: Con pagamento in base al consumo e Livelli di impegno.

  • Con pagamento in base al consumo è il modello predefinito, in base al volume di dati effettivo archiviato e facoltativamente per la conservazione dei dati oltre 90 giorni. Il volume di dati viene misurato in GB (109 byte).

  • Log Analytics e Microsoft Sentinel hanno prezzi di Livello di impegno, denominati in precedenza Prenotazioni di capacità. Questi piani tariffari vengono combinati in piani tariffari semplificati che sono più prevedibili e offrono risparmi sostanziali rispetto ai prezzi di Con pagamento in base al consumo.

    I prezzi di Livello di impegno iniziano da 100 GB al giorno. Qualsiasi utilizzo al di sopra del livello di impegno viene fatturato alla tariffa del livello di impegno selezionata. Ad esempio, un livello di impegno di 100 GB al giorno fattura per il volume dati di 100 GB di cui è stato eseguito il commit, oltre a qualsiasi GB/giorno aggiuntivo alla tariffa effettiva scontata per tale livello. Il prezzo effettivo per GB è semplicemente il prezzo di Microsoft Sentinel diviso per la quantità di GB di livello al giorno. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.

    Aumentare il livello impegno in qualsiasi momento per ottimizzare i costi man mano che aumenta il volume di dati. L'abbassamento del livello di impegno è consentito solo ogni 31 giorni. Per visualizzare il piano tariffario corrente di Microsoft Sentinel, selezionare Impostazioni in Microsoft Sentinel e quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Livello corrente.

    Per impostare e modificare il livello di impegno, vedere Impostare o modificare il piano tariffario. Andare a qualsiasi area di lavoro precedente a luglio 2023 all'esperienza semplificata dei piani tariffari per unificare i contatori di fatturazione. In alternativa, continuare a usare i piani tariffari classici che separano i prezzi di Log Analytics dai prezzi classici di Microsoft Sentinel. Per altre informazioni, vedere Piani tariffari semplificati.

Log ausiliari e log di base

I log di base sono un'opzione a basso costo e i log ausiliari sono un'opzione a bassissimo costo, per l'inserimento di origini dati ad alto volume e a basso valore. Vengono addebitati a una tariffa fissa ridotta per GB. Prevedono, tra le altre, le limitazioni seguenti:

  • Funzionalità di query ridotte
  • Conservazione interattiva di 30 giorni
  • Nessun supporto per gli avvisi pianificati

Questi due tipi di log sono più adatti per l'uso nell'automazione del playbook, nell'esecuzione di query ad hoc, nelle indagini e nella ricerca. Per altre informazioni, vedi:

Per altre informazioni sulla differenza tra conservazione interattiva e conservazione a lungo termine (in precedenza nota come archivio), vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.

Importante

Il tipo di log Log ausiliari è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Piani tariffari semplificati

I piani tariffari semplificati combinano i costi di analisi dei dati per Microsoft Sentinel e i costi di archiviazione di inserimento di Log Analytics in un unico piano tariffario. Lo screenshot seguente mostra il piano tariffario semplificato usato da tutte le nuove aree di lavoro.

Screenshot che mostra il piano tariffario semplificato.

Andare a qualsiasi area di lavoro configurata con i piani tariffari classici ai piani tariffari semplificati. Per altre informazioni su come andare nuovi prezzi, vedere Iscriversi a un piano tariffario semplificato.

La combinazione dei piani tariffari offre una semplificazione dell'esperienza complessiva di fatturazione e gestione dei costi, inclusa la visualizzazione nella pagina dei prezzi e un minor numero di passaggi che stimano i costi nel calcolatore di Azure. Per aggiungere ulteriore valore ai nuovi livelli semplificati, il vantaggio Microsoft Defender per server P2 corrente che concede 500 MB di inserimento dei dati di sicurezza in Log Analytics viene esteso ai piani tariffari semplificati. Questa modifica aumenta notevolmente il vantaggio finanziario dell'inserimento dei dati idonei in Microsoft Sentinel per ogni macchina virtuale (VM) protetta in questo modo. Per altre informazioni, vedere Domande frequenti - Vantaggi di Microsoft Defender per server P2 che concedono 500 MB.

Informazioni sulla fattura di Microsoft Sentinel

I contatori fatturabili sono i singoli componenti del servizio visualizzati nella fattura e vengono visualizzati in Gestione costi Microsoft. Al termine del ciclo di fatturazione, vengono sommati i costi per ogni contatore. La fattura o la fattura mostra una sezione per tutti i costi di Microsoft Sentinel. È presente una voce separata per ogni contatore.

Per visualizzare la fattura di Azure, selezionare Analisi dei costi nel riquadro di spostamento sinistro di Gestione dei costi. Nella schermata Analisi dei costi, individuare e selezionare i Dettagli della fattura da Tutte le visualizzazioni.

I costi illustrati nell'immagine seguente sono solo a scopo esemplificativo. Non sono destinati a riflettere i costi effettivi. A partire dal 1° luglio 2023, i piani tariffari legacy hanno il prefisso Classico.

Screenshot che mostra la sezione di Microsoft Sentinel di una fattura di Azure di esempio, che consente di stimare i costi.

Gli addebiti di Microsoft Sentinel e Log Analytics potrebbero essere visualizzati nella fattura di Azure come voci separate in base al piano tariffario selezionato. I piani tariffari semplificati sono rappresentati come una singola voce sentinel per il piano tariffario. L'inserimento e l'analisi vengono fatturati su base giornaliera. Se l'area di lavoro supera l'allocazione di utilizzo del livello di impegno in un determinato giorno, la fattura di Azure mostra una voce per il livello di impegno con il costo fisso associato e una voce separata per il costo oltre il livello di impegno, fatturata allo stesso livello di impegno effettivo.

Le schede seguenti illustrano come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure in base al piano tariffario semplificato.

Se la tariffa del livello di impegno semplificata viene fatturata, questa tabella mostra come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure.

Descrizione dei costi Nome servizio Metro
Livello di impegno di Microsoft Sentinel Sentinel n Livello di impegno GB
Eccedenza del livello di impegno di Microsoft Sentinel Sentinel Analisi

Informazioni su come visualizzare e scaricare la fattura di Azure.

Costi e prezzi per altri servizi

Microsoft Sentinel si integra con molti altri servizi di Azure, tra cui App per la logica di Azure, Azure Notebooks e modelli BYOML (Bring Your Own Machine Learning). Alcuni di questi servizi potrebbero avere costi aggiuntivi. Alcuni connettori dati e soluzioni di Microsoft Sentinel usano Funzioni di Azure per l'inserimento dati, con costi associati separati.

Informazioni sui prezzi per questi servizi:

Qualsiasi altro servizio usato potrebbe avere costi associati.

Costi di conservazione dei dati interattivi e a lungo termine

Dopo aver abilitato Microsoft Sentinel in un'area di lavoro Log Analytics, prendere in considerazione queste opzioni di configurazione:

  • Conservare tutti i dati inseriti nell'area di lavoro gratuitamente per i primi 90 giorni. La conservazione oltre 90 giorni viene addebitata in base ai prezzi di conservazione standard di Log Analytics.
  • Specificare impostazioni di conservazione diverse per i singoli tipi di dati. Informazioni sulla conservazione in base al tipo di dati.
  • Abilitare la conservazione a lungo termine per i dati in modo da avere accesso ai log cronologici. La conservazione a lungo termine è uno stato di conservazione a basso costo per la conservazione dei dati, ad esempio la conformità alle normative. Viene addebitato in base al volume di dati archiviati e analizzati. Informazioni su come configurare criteri di conservazione dei dati interattivi e a lungo termine nei log di Monitoraggio di Azure.
  • Registrare tabelle che contengono dati di sicurezza secondari nel piano dei Log ausiliari. Questo piano consente di archiviare log dal volume elevato e a basso valore a un prezzo ridotto, con un periodo di conservazione interattivo di 30 giorni inferiore all'inizio per consentire il riepilogo e l'esecuzione di query di base. Per altre informazioni sul piano dei log ausiliari e altri piani, vedere Piani di conservazione dei log in Microsoft Sentinel.

Altri costi di inserimento CEF

CEF è un formato di eventi Syslog supportato in Microsoft Sentinel. Usare CEF per inserire informazioni di sicurezza preziose da varie origini all'area di lavoro di Microsoft Sentinel. I log CEF vengono inseriti nella tabella CommonSecurityLog in Microsoft Sentinel, che include tutti i campi CEF standard aggiornati.

Molti dispositivi e origini dati supportano campi di registrazione oltre lo schema CEF standard. Questi campi aggiuntivi vengono inseriti nella tabella AdditionalExtensions. Questi campi potrebbero avere volumi di inserimento superiori rispetto ai campi CEF standard, perché il contenuto dell'evento all'interno di questi campi può essere variabile.

Costi che potrebbero accumularsi dopo l'eliminazione delle risorse

La rimozione di Microsoft Sentinel non rimuove l'area di lavoro Log Analytics in cui è stato distribuito Microsoft Sentinel o eventuali addebiti separati che potrebbero essere addebitati per l'area di lavoro.

Origini dati gratuite

Le origini dati seguenti sono gratuite con Microsoft Sentinel:

  • Log attività di Azure
  • Integrità di Microsoft Sentinel
  • Log di audit di Office 365, incluse tutte le attività di SharePoint, l'attività di amministrazione di Exchange e Teams
  • Avvisi di sicurezza, inclusi gli avvisi delle origini seguenti:
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud
    • Microsoft Defender per Office 365
    • Microsoft Defender per identità
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender for Endpoint
  • Avvisi provenienti dalle origini seguenti:
    • Microsoft Defender for Cloud
    • Microsoft Defender for Cloud Apps

Anche se gli avvisi sono gratuiti, vengono pagati i log non elaborati per alcuni tipi di dati Microsoft Defender XDR, Defender per endpoint/identità/Office 365/Cloud Apps, Microsoft Entra ID e Azure Information Protection (AIP).

La tabella seguente elenca le origini dati in Microsoft Sentinel e Log Analytics che non vengono addebitate. Per altre informazioni, vedere Tabelle escluse.

Connettore dati Microsoft Sentinel Tipo di dati gratuito
Log attività di Azure AzureActivity
Monitoraggio dell'integrità per Microsoft Sentinel1 SentinelHealth
Microsoft Entra ID Protection SecurityAlert (IPC)
Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Teams)
Microsoft Defender per il cloud SecurityAlert (Defender for Cloud)
Microsoft Defender per IoT SecurityAlert (Defender per IoT)
Microsoft Defender XDR SecurityIncident
SecurityAlert
Microsoft Defender per endpoint SecurityAlert (MDATP)
Microsoft Defender per identità SecurityAlert (AATP)
Microsoft Defender for Cloud Apps SecurityAlert (Defender for Cloud Apps)

1Per altre informazioni, vedere Controllo e monitoraggio dell'integrità per Microsoft Sentinel.

Per i connettori dati che includono tipi di dati gratuiti e a pagamento, selezionare i tipi di dati da abilitare.

Screenshot della pagina del connettore per Defender for Cloud Apps, con gli avvisi di sicurezza gratuiti selezionati e A pagamento Shadow IT Reporting MCAS non abilitati.

Altre informazioni su come connettere le origini dati, incluse le origini dati gratuite e a pagamento.

Altre informazioni

Passaggi successivi

In questo articolo si è appreso come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel.