Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel
Quando si pianifica la distribuzione di Microsoft Sentinel, in genere si vogliono comprendere i relativi modelli di determinazione prezzi e fatturazione per ottimizzare i costi. I dati di analisi della sicurezza di Microsoft Sentinel vengono archiviati in un'area di lavoro Log Analytics di Monitoraggio di Azure. La fatturazione si basa sul volume di dati analizzati in Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics. Il costo di entrambi è combinato in un piano tariffario semplificato. Altre informazioni sui piani tariffari semplificati o altre informazioni sui prezzi di Microsoft Sentinel in generale.
Prima di aggiungere risorse per Microsoft Sentinel, usare il calcolatore dei prezzi di Azure per stimare i costi.
I costi per Microsoft Sentinel sono solo una parte dei costi mensili nella fattura di Azure. Anche se questo articolo illustra come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel, vengono fatturati tutti i servizi e le risorse di Azure usati dalla sottoscrizione di Azure, inclusi i servizi partner.
Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Versione di prova gratuita
Abilitare Microsoft Sentinel in un'area di lavoro Log Analytics di Monitoraggio di Azure e i primi 10 GB al giorno sono gratuiti per 31 giorni. Il costo per l'inserimento dati di Log Analytics e gli addebiti per l'analisi di Microsoft Sentinel fino al limite di 10 GB al giorno vengono rinunciati durante il periodo di valutazione di 31 giorni. Questa versione di valutazione gratuita è soggetta a un limite di 20 aree di lavoro per ogni tenant di Azure.
L'utilizzo oltre questi limiti viene addebitato in base ai prezzi elencati nella pagina Prezzi di Microsoft Sentinel. Gli addebiti relativi alle funzionalità aggiuntive per l'automazione e bring your own machine learning sono ancora applicabili durante la versione di valutazione gratuita.
Durante la versione di valutazione gratuita, trovare risorse per la gestione dei costi, il training e altro ancora nella scheda Notizie e guide> Versione di valutazione gratuita in Microsoft Sentinel. Questa scheda visualizza anche i dettagli sulle date della versione di valutazione gratuita e sul numero di giorni rimanenti fino alla scadenza della versione di valutazione.
Identificare le origini dati e pianificare i costi di conseguenza
Identificare le origini dati da inserire o pianificare l'inserimento nell'area di lavoro in Microsoft Sentinel. Microsoft Sentinel consente di inserire dati da una o più origini dati. Alcune di queste origini dati sono gratuite e altre comportano addebiti. Per altre informazioni, vedere Origini dati gratuite.
Stimare i costi e la fatturazione prima di usare Microsoft Sentinel
Usare il calcolatore dei prezzi di Microsoft Sentinel per stimare i costi nuovi o modificati. Immettere Microsoft Sentinel nella casella Cerca e selezionare il riquadro di Microsoft Sentinel risultante. Il calcolatore dei prezzi consente di stimare i probabili costi in base all'inserimento e alla conservazione previsti per i dati.
Ad esempio, immettere i GB di dati giornalieri che si prevede di inserire in Microsoft Sentinel e l'area per l'area di lavoro. Il calcolatore fornisce il costo mensile aggregato tra questi componenti:
- Microsoft Sentinel: log di Analytics e log ausiliari/log di base
- Monitoraggio di Azure: Conservazione
- Monitoraggio di Azure: Ripristino dati
- Monitoraggio di Azure: query di ricerca e processi di ricerca
Informazioni sul modello di fatturazione completo per Microsoft Sentinel
Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Per altre informazioni, vedere la pagina Prezzi di Microsoft Sentinel. Le aree di lavoro precedenti a luglio 2023 potrebbero avere addebiti per l'area di lavoro Log Analytics separati da Microsoft Sentinel in un piano tariffario classico. Per i relativi addebiti per Log Analytics, vedere Prezzi di Log Analytics per il Monitoraggio di Azure.
Microsoft Sentinel viene eseguito nell'infrastruttura di Azure che accumula costi quando si distribuiscono nuove risorse. È importante comprendere che potrebbero verificarsi altri costi di infrastruttura aggiuntivi che potrebbero accumularsi.
Come vengono addebitati i costi per Microsoft Sentinel
I prezzi si basano sui tipi di log inseriti in un'area di lavoro. I log di analisi costituiscono in genere la maggior parte dei log di sicurezza di alto valore. I log di base tendono a essere dettagliati con un valore di sicurezza basso. È importante notare che la fatturazione viene eseguita ogni giorno per ogni area di lavoro per tutti i tipi di log e i livelli.
Log di analisi
Esistono due modi per pagare i log di analisi: Con pagamento in base al consumo e Livelli di impegno.
Con pagamento in base al consumo è il modello predefinito, in base al volume di dati effettivo archiviato e facoltativamente per la conservazione dei dati oltre 90 giorni. Il volume di dati viene misurato in GB (109 byte).
Log Analytics e Microsoft Sentinel hanno prezzi di Livello di impegno, denominati in precedenza Prenotazioni di capacità. Questi piani tariffari vengono combinati in piani tariffari semplificati che sono più prevedibili e offrono risparmi sostanziali rispetto ai prezzi di Con pagamento in base al consumo.
I prezzi di Livello di impegno iniziano da 100 GB al giorno. Qualsiasi utilizzo al di sopra del livello di impegno viene fatturato alla tariffa del livello di impegno selezionata. Ad esempio, un livello di impegno di 100 GB al giorno fattura per il volume dati di 100 GB di cui è stato eseguito il commit, oltre a qualsiasi GB/giorno aggiuntivo alla tariffa effettiva scontata per tale livello. Il prezzo effettivo per GB è semplicemente il prezzo di Microsoft Sentinel diviso per la quantità di GB di livello al giorno. Per altre informazioni, vedere Prezzi di Microsoft Sentinel.
Aumentare il livello impegno in qualsiasi momento per ottimizzare i costi man mano che aumenta il volume di dati. L'abbassamento del livello di impegno è consentito solo ogni 31 giorni. Per visualizzare il piano tariffario corrente di Microsoft Sentinel, selezionare Impostazioni in Microsoft Sentinel e quindi selezionare la scheda Prezzi. Il piano tariffario corrente è contrassegnato come Livello corrente.
Per impostare e modificare il livello di impegno, vedere Impostare o modificare il piano tariffario. Andare a qualsiasi area di lavoro precedente a luglio 2023 all'esperienza semplificata dei piani tariffari per unificare i contatori di fatturazione. In alternativa, continuare a usare i piani tariffari classici che separano i prezzi di Log Analytics dai prezzi classici di Microsoft Sentinel. Per altre informazioni, vedere Piani tariffari semplificati.
Log ausiliari e log di base
I log di base sono un'opzione a basso costo e i log ausiliari sono un'opzione a bassissimo costo, per l'inserimento di origini dati ad alto volume e a basso valore. Vengono addebitati a una tariffa fissa ridotta per GB. Prevedono, tra le altre, le limitazioni seguenti:
- Funzionalità di query ridotte
- Conservazione interattiva di 30 giorni
- Nessun supporto per gli avvisi pianificati
Questi due tipi di log sono più adatti per l'uso nell'automazione del playbook, nell'esecuzione di query ad hoc, nelle indagini e nella ricerca. Per altre informazioni, vedi:
- Piani di conservazione dei log in Microsoft Sentinel
- Origini di log da usare per l'inserimento dei log ausiliari
Per altre informazioni sulla differenza tra conservazione interattiva e conservazione a lungo termine (in precedenza nota come archivio), vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.
Importante
Il tipo di log Log ausiliari è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Piani tariffari semplificati
I piani tariffari semplificati combinano i costi di analisi dei dati per Microsoft Sentinel e i costi di archiviazione di inserimento di Log Analytics in un unico piano tariffario. Lo screenshot seguente mostra il piano tariffario semplificato usato da tutte le nuove aree di lavoro.
Andare a qualsiasi area di lavoro configurata con i piani tariffari classici ai piani tariffari semplificati. Per altre informazioni su come andare nuovi prezzi, vedere Iscriversi a un piano tariffario semplificato.
La combinazione dei piani tariffari offre una semplificazione dell'esperienza complessiva di fatturazione e gestione dei costi, inclusa la visualizzazione nella pagina dei prezzi e un minor numero di passaggi che stimano i costi nel calcolatore di Azure. Per aggiungere ulteriore valore ai nuovi livelli semplificati, il vantaggio Microsoft Defender per server P2 corrente che concede 500 MB di inserimento dei dati di sicurezza in Log Analytics viene esteso ai piani tariffari semplificati. Questa modifica aumenta notevolmente il vantaggio finanziario dell'inserimento dei dati idonei in Microsoft Sentinel per ogni macchina virtuale (VM) protetta in questo modo. Per altre informazioni, vedere Domande frequenti - Vantaggi di Microsoft Defender per server P2 che concedono 500 MB.
Informazioni sulla fattura di Microsoft Sentinel
I contatori fatturabili sono i singoli componenti del servizio visualizzati nella fattura e vengono visualizzati in Gestione costi Microsoft. Al termine del ciclo di fatturazione, vengono sommati i costi per ogni contatore. La fattura o la fattura mostra una sezione per tutti i costi di Microsoft Sentinel. È presente una voce separata per ogni contatore.
Per visualizzare la fattura di Azure, selezionare Analisi dei costi nel riquadro di spostamento sinistro di Gestione dei costi. Nella schermata Analisi dei costi, individuare e selezionare i Dettagli della fattura da Tutte le visualizzazioni.
I costi illustrati nell'immagine seguente sono solo a scopo esemplificativo. Non sono destinati a riflettere i costi effettivi. A partire dal 1° luglio 2023, i piani tariffari legacy hanno il prefisso Classico.
Gli addebiti di Microsoft Sentinel e Log Analytics potrebbero essere visualizzati nella fattura di Azure come voci separate in base al piano tariffario selezionato. I piani tariffari semplificati sono rappresentati come una singola voce sentinel
per il piano tariffario. L'inserimento e l'analisi vengono fatturati su base giornaliera. Se l'area di lavoro supera l'allocazione di utilizzo del livello di impegno in un determinato giorno, la fattura di Azure mostra una voce per il livello di impegno con il costo fisso associato e una voce separata per il costo oltre il livello di impegno, fatturata allo stesso livello di impegno effettivo.
Le schede seguenti illustrano come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure in base al piano tariffario semplificato.
Se la tariffa del livello di impegno semplificata viene fatturata, questa tabella mostra come vengono visualizzati i costi di Microsoft Sentinel nelle colonne Nome servizio e Contatore della fattura di Azure.
Descrizione dei costi | Nome servizio | Metro |
---|---|---|
Livello di impegno di Microsoft Sentinel | Sentinel |
n Livello di impegno GB |
Eccedenza del livello di impegno di Microsoft Sentinel | Sentinel |
Analisi |
Informazioni su come visualizzare e scaricare la fattura di Azure.
Costi e prezzi per altri servizi
Microsoft Sentinel si integra con molti altri servizi di Azure, tra cui App per la logica di Azure, Azure Notebooks e modelli BYOML (Bring Your Own Machine Learning). Alcuni di questi servizi potrebbero avere costi aggiuntivi. Alcuni connettori dati e soluzioni di Microsoft Sentinel usano Funzioni di Azure per l'inserimento dati, con costi associati separati.
Informazioni sui prezzi per questi servizi:
- Automazione-Prezzi di App per la logica
- Prezzi dei notebook
- Prezzi di BYOML
- Prezzi di Funzioni di Azure
Qualsiasi altro servizio usato potrebbe avere costi associati.
Costi di conservazione dei dati interattivi e a lungo termine
Dopo aver abilitato Microsoft Sentinel in un'area di lavoro Log Analytics, prendere in considerazione queste opzioni di configurazione:
- Conservare tutti i dati inseriti nell'area di lavoro gratuitamente per i primi 90 giorni. La conservazione oltre 90 giorni viene addebitata in base ai prezzi di conservazione standard di Log Analytics.
- Specificare impostazioni di conservazione diverse per i singoli tipi di dati. Informazioni sulla conservazione in base al tipo di dati.
- Abilitare la conservazione a lungo termine per i dati in modo da avere accesso ai log cronologici. La conservazione a lungo termine è uno stato di conservazione a basso costo per la conservazione dei dati, ad esempio la conformità alle normative. Viene addebitato in base al volume di dati archiviati e analizzati. Informazioni su come configurare criteri di conservazione dei dati interattivi e a lungo termine nei log di Monitoraggio di Azure.
- Registrare tabelle che contengono dati di sicurezza secondari nel piano dei Log ausiliari. Questo piano consente di archiviare log dal volume elevato e a basso valore a un prezzo ridotto, con un periodo di conservazione interattivo di 30 giorni inferiore all'inizio per consentire il riepilogo e l'esecuzione di query di base. Per altre informazioni sul piano dei log ausiliari e altri piani, vedere Piani di conservazione dei log in Microsoft Sentinel.
Altri costi di inserimento CEF
CEF è un formato di eventi Syslog supportato in Microsoft Sentinel. Usare CEF per inserire informazioni di sicurezza preziose da varie origini all'area di lavoro di Microsoft Sentinel. I log CEF vengono inseriti nella tabella CommonSecurityLog in Microsoft Sentinel, che include tutti i campi CEF standard aggiornati.
Molti dispositivi e origini dati supportano campi di registrazione oltre lo schema CEF standard. Questi campi aggiuntivi vengono inseriti nella tabella AdditionalExtensions. Questi campi potrebbero avere volumi di inserimento superiori rispetto ai campi CEF standard, perché il contenuto dell'evento all'interno di questi campi può essere variabile.
Costi che potrebbero accumularsi dopo l'eliminazione delle risorse
La rimozione di Microsoft Sentinel non rimuove l'area di lavoro Log Analytics in cui è stato distribuito Microsoft Sentinel o eventuali addebiti separati che potrebbero essere addebitati per l'area di lavoro.
Origini dati gratuite
Le origini dati seguenti sono gratuite con Microsoft Sentinel:
- Log attività di Azure
- Integrità di Microsoft Sentinel
- Log di audit di Office 365, incluse tutte le attività di SharePoint, l'attività di amministrazione di Exchange e Teams
- Avvisi di sicurezza, inclusi gli avvisi delle origini seguenti:
- Microsoft Defender XDR
- Microsoft Defender for Cloud
- Microsoft Defender per Office 365
- Microsoft Defender per identità
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Avvisi provenienti dalle origini seguenti:
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
Anche se gli avvisi sono gratuiti, vengono pagati i log non elaborati per alcuni tipi di dati Microsoft Defender XDR, Defender per endpoint/identità/Office 365/Cloud Apps, Microsoft Entra ID e Azure Information Protection (AIP).
La tabella seguente elenca le origini dati in Microsoft Sentinel e Log Analytics che non vengono addebitate. Per altre informazioni, vedere Tabelle escluse.
Connettore dati Microsoft Sentinel | Tipo di dati gratuito |
---|---|
Log attività di Azure | AzureActivity |
Monitoraggio dell'integrità per Microsoft Sentinel1 | SentinelHealth |
Microsoft Entra ID Protection | SecurityAlert (IPC) |
Office 365 | OfficeActivity (SharePoint) |
OfficeActivity (Exchange) | |
OfficeActivity (Teams) | |
Microsoft Defender per il cloud | SecurityAlert (Defender for Cloud) |
Microsoft Defender per IoT | SecurityAlert (Defender per IoT) |
Microsoft Defender XDR | SecurityIncident |
SecurityAlert | |
Microsoft Defender per endpoint | SecurityAlert (MDATP) |
Microsoft Defender per identità | SecurityAlert (AATP) |
Microsoft Defender for Cloud Apps | SecurityAlert (Defender for Cloud Apps) |
1Per altre informazioni, vedere Controllo e monitoraggio dell'integrità per Microsoft Sentinel.
Per i connettori dati che includono tipi di dati gratuiti e a pagamento, selezionare i tipi di dati da abilitare.
Altre informazioni su come connettere le origini dati, incluse le origini dati gratuite e a pagamento.
Altre informazioni
- Monitorare i costi per Microsoft Sentinel
- Ridurre i costi per Microsoft Sentinel
- Informazioni su come ottimizzare gli investimenti per il cloud con Gestione dei costi Microsoft.
- Altre informazioni sulla gestione dei costi con l'analisi dei costi.
- Informazioni su come evitare costi imprevisti.
- Seguire il corso di apprendimento guidato sulla Gestione dei costi.
- Per altri suggerimenti sulla riduzione del volume di dati di Log Analytics, vedere Procedure consigliate di Monitoraggio di Azure - Gestione dei costi.
Passaggi successivi
In questo articolo si è appreso come pianificare i costi e comprendere la fatturazione per Microsoft Sentinel.