コストを計画し、Microsoft Sentinel の価格と課金を理解する

予想されるMicrosoft Sentinelコストを見積もる場合は、Microsoft Sentinel コスト見積もりツール、、 Security 営業スペシャリストと直接作業して、カスタム見積もりや追加ガイダンスを確認します。

Microsoft Sentinelのコストは、Azure請求書の月額料金の一部にすぎません。 この記事では、コストを計画し、Microsoft Sentinelの課金を理解する方法について説明しますが、パートナー サービスを含め、Azure サブスクリプションが使用するすべてのAzure サービスとリソースに対して課金されます。

この記事は、Microsoft Sentinel の Deployment ガイドの一部です。

無料試用版

Azure Monitor Log Analytics ワークスペースでMicrosoft Sentinelを有効にすると、Analytics ログ プランを使用して取り込まれた最初の 10 GB/日は 31 日間無料です。 Log Analytics データ インジェストとMicrosoft Sentinel分析料金の両方に対するコストは、1 日あたりの上限 10 GB まで、31 日間の試用期間中に免除されます。 この無料試用版には、テナントごとに 20 個のワークスペース制限Azure適用されます。

これらの制限を超える使用量の課金方法については、Microsoft Sentinel価格 に関するページを参照してください。 automationおよび独自の機械学習の追加機能に関連する料金は、無料試用版中に引き続き適用されます。また、Microsoft Sentinelデータ レイク関連の料金も適用されます。

無料試用期間中は、Azure ポータルの Microsoft Sentinel 内の News & guides フリー トライアル タブで、コスト管理、トレーニングなどのリソースを見つけることができます。 このタブには、無料試用版の日付と、試用期限が切れるまでの残り日数に関する詳細も表示されます。

Microsoft Sentinelの完全な課金モデルを理解する

Microsoft Sentinelは、柔軟で予測可能な価格モデルを提供します。 詳細については、Microsoft Sentinel価格に関するページを参照してください。 2023 年 7 月より前のワークスペースでは、クラシック価格レベルのMicrosoft Sentinelとは別にLog Analyticsワークスペースの料金が発生する可能性があります。 関連するLog Analytics料金については、Azure Monitor Log Analytics価格を参照してください。

Microsoft Sentinelは、新しいリソースをデプロイするときにコストが発生するAzureインフラストラクチャで実行されます。 その他のインフラストラクチャ コストが追加で発生する可能性があることを理解しておくことが重要です。

Microsoft Sentinelに対する課金方法

価格は、データが取り込まれるレベルに基づいています。 レベルとプランの詳細については、「Microsoft Sentinel の Data レベル」を参照してください。

Analytics 層

分析レベルには、 従量課金制 と コミットメントレベルの 2 つの方法があります。

• 従量課金制 は、格納されている実際のデータ 量に基づく既定のモデルであり、必要に応じて 90 日を超えるデータ保持に使用されます。 データ量は GB 単位 (10⁹ バイト) で測定されます。

• Log AnalyticsとMicrosoft Sentinelには、以前は容量予約と呼ばれたコミットメント・ティア価格設定があります。 これらの価格レベルは、予測可能な簡素化された価格レベルに組み合わされ、 従量課金制 の価格と比較して大幅な節約が提供されます。

  コミットメント レベル の価格は、1 日あたり 100 GB から始まります。 コミットメント レベルを超える使用量には、お客様が選択したコミットメント レベル レートで課金されます。 たとえば、 1 日あたり 100 GB のコミットメント レベルでは、コミットされた 100 GB のデータ ボリュームに加えて、そのレベルの割引有効レートで 1 日あたりの追加の GB が課金されます。 Effective Per GB Price は、単に Microsoft Sentinel Price を 1 日あたりの Tier GB で割った値です。 詳細については、「Microsoft Sentinel 価格」を参照してください。

  コミットメント レベルはいつでも増やしてデータ量が増加するに伴いコストを最適化することができます。 コミットメント レベルの引き下げは、31 日ごとにのみ可能です。 現在のMicrosoft Sentinel価格レベルを表示するには、Microsoft Sentinelで Settings を選択し、Pricing タブを選択します。現在の価格レベルは、Current レベルとしてマークされています。

  コミットメント レベルの設定と変更については、「価格レベルを設定または変更する」を参照してください。 2023 年 7 月より前のすべてのワークスペースを、簡略化された価格レベルのエクスペリエンスに切り替えて、課金メーターを統合します。 または、Log Analyticsの価格をMicrosoft Sentinelのクラシック価格から分離するためのクラシックな価格設定の層を引き続き使用します。

データレイク層

Microsoft Sentinel Data Lake の詳細については、「Microsoft Sentinel data lakeを参照してください。

Data Lake レベルでは、さまざまな Data Lake 機能の使用状況に基づいて料金が発生します。

• データ レイク インジェスト は、データ レイク層のみに保持が設定されたテーブルに取り込まれるすべてのデータに対して GB 単位で課金されます。 データ レイク インジェストの料金は、データが分析層とデータ レイク層の両方を含むように保持が設定されたテーブルに取り込まれる場合には適用されません。
• データ処理 は、データ レイク層のみに保持が設定されたテーブルに取り込まれたデータに対して GB 単位で課金されます。 これは、編集、分割、フィルター処理、正規化などの変換をサポートします。 データ処理の料金は、データが分析層とデータ レイク層の両方を含むようにリテンション期間が設定されたテーブルにデータが取り込まれる場合には適用されません。
• Data Lake Storage の料金は、分析層の保有期間が終了した後もデータ レイク層に残っているデータに対して、1 か月あたり GB ごとに適用されます。 料金は、シンプルで均一なデータ圧縮率の 6:1 に基づいています。 たとえば、600 GB の生データを保持する場合、100 GB の圧縮データとして課金されます。
• Data Lake クエリ の料金は、ノートブック セッション内での使用、ノートブック ジョブの実行、またはカスタム グラフのノードとエッジの構築に使用されるコンピューティング時間ごとに適用されます。 コンピューティング時間は、ノートブック用に選択されたプール内のコア数と、セッションがアクティブであったかジョブが実行されていた時間を乗算して計算されます。 Data Lake Notebook のセッションとジョブは、12 個、32 個、80 個の仮想コアのプールで使用できます。

オンボード後、Microsoft Sentinel ワークスペースからの使用状況は、既存の長期保有 (旧称アーカイブ)、検索、または補助ログ取り込みメーターではなく、前述のメーターを通じて課金され始めます。

Microsoft Sentinel グラフ

Defender ポータルと Purview ポータルに埋め込まれたグラフ

Microsoft Defender ポータルのハンティング グラフとブラスト半径の視覚化と、Microsoft Purview ポータルの Insider Risk Management とデータ セキュリティ調査では、課金や消費料金は発生しません。 Sentinel を利用したMicrosoft PurviewグラフとDefender グラフの詳細については、Microsoft Sentinel graph を参照してください。

MCP グラフ ツールコレクションを使用してDefenderグラフと Purview グラフにアクセスすると、追加料金が発生します。

カスタム グラフ

Sentinel カスタム グラフの課金は従量課金ベースであり、グラフ操作はコンピューティング時間ごとに課金されます。 Microsoft Sentinelカスタム グラフの詳細については、「Custom グラフを参照してください。

次のカスタム グラフ操作は、グラフ メーターのコンピューティング時間ごとに課金されます。

• Visual Studio Codeでノートブックを使用してグラフを作成する。

• Visual Studio Codeのノートブックを使用したグラフのクエリ。

• Defender ポータルを通じて、Sentinel グラフを使ってグラフをクエリできます。

• Graph クエリ API を使用したグラフのクエリ。

• Sentinel MCP グラフ ツール コレクションを使用したグラフのクエリ。

グラフの料金設定

グラフ料金は、コア時間と実行時間を掛け、選択したSKUのvコア数とSentinelグラフメーターの価格をさらに掛け合わせて計算されます。 1 つのグラフ SKU オプションがあり、グラフ ビルド操作に 49 個の仮想コアを使用し、グラフ クエリに 6 個の仮想コアを使用し、クエリの最小実行時間は 1 分です。

たとえば、ノートブック ジョブを 1 時間実行し、グラフ API を使用して 5 分かかるグラフを作成すると、グラフのコストは次のように計算されます。

cost = 49 × (Price per vCore hour) × (5/60)

同様に、グラフ クエリの完了に 1 分かかる場合、コストは次のように決定されます。

cost = 6 × (Price per vCore hour) × (1/60)

グラフのノードとエッジを構築するためにデータ変換に使用されたノートブック/Spark コンピューティングと Data Lake ストレージは、既存の Sentinel データ レイク メーター (Data Lake Storage と Advanced Data Insights) ごとに個別に課金されます。

Sentinel モデルコンテキストプロトコル (MCP) サーバー

Sentinel MCP サーバーは、Sentinel プラットフォーム機能を AI エージェントに公開するインターフェイス レイヤーです。 MCP サーバー自体を使用するための追加コストはありません。 MCP ツールでは、基になる Sentinel プラットフォーム サービス (Data Lake クエリやグラフ操作など) が使用されます。これは、それぞれのメーターに基づいて課金されます。 さらに、エンティティ アナライザーなどの特定のツールは、AI 推論の実行が必要な場合に セキュリティ コンピューティング ユニット (SKU) を 使用する場合があります。 お客様は、基になるプラットフォーム サービスと、使用するコンピューティングに対してのみ課金されます。

Microsoft SentinelのMCP Data Lake ツール

Data Lake ツールの詳細については、「MCP サーバーのデータ探索ツール コレクションMicrosoft Sentinel」を参照してください。

Microsoft Sentinelの統合 MCP サーバーをインストールして構成しても、コストはかからなくなります。 ただし、ツールを使用して、Microsoft Sentinel データ レイクから Kusto クエリ言語 (KQL) クエリを使用してデータを検索および取得すると、データ レイク クエリ メーターが作動します。 詳細については、Microsoft Sentinel Data Lake の価格に関するページを参照してください。

Microsoft Sentinel MCP エンティティ アナライザー

エンティティ アナライザーの詳細については、「 Entity Analyzer」を参照してください。

顧客は、有病率、脅威インテリジェンス、リレーションシップに基づいてエンティティ リスク分析を生成する AI 推論に使用されるセキュリティ コンピューティング ユニット (SKU) に対して課金されます。

既存のSecurity Copilotの権利が適用されます。 Microsoft 365 E5の権利を超える使用には追加料金が発生します。 SCU 超過分は、使用量がプロビジョニングされた金額を超えた場合にのみ課金され、顧客は消費された SKU に対してのみ課金されます。 詳細については、「Sentinel MCP billing」および「Microsoft Security Copilot の使用を開始する」の SCU 情報を参照してください。

さらに、エンティティ アナライザーを使用する場合は、Microsoft Sentinel データ レイクに対して実行された KQL クエリに対して課金されます。

Microsoft Sentinel MCP トリアージ ツール

トリアージ ツールの詳細については、「 トリアージ ツール コレクション」を参照してください。

トリアージ ツールのインストール、構成、および使用は、必要な製品とサービスにオンボードされていれば、コストはかからなくなります。 Microsoft Defender ポータルでMicrosoft Defender、Microsoft Defender for Endpoint、またはMicrosoft Sentinelを設定すると、追加料金なしでトリアージにアクセスできます。

Microsoft Sentinelの請求書を理解する

課金対象メーターは、請求書に表示されるサービスの個々のコンポーネントであり、Microsoft Cost Managementに表示されます。 請求期間終了時に、各測定の料金が合計されます。 請求書には、すべてのMicrosoft Sentinelコストのセクションが表示されます。 測定ごとに個別の行項目があります。

Azure請求書を表示するには、Cost Management の左側のナビゲーションで Cost Analysis を選択します。 [コスト分析] 画面で、[すべてのビュー] から [請求書の詳細] を見つけて選択します。 課金情報を表示するために必要なアクセス レベルについては、「 Azure の課金情報へのアクセスの管理」を参照してください。

以下の画像で示されているコストは、例示のみを目的としたものです。 実際のコストを反映したものではありません。 2023 年 7 月 1 日以降、レガシ価格レベルには Classic というプレフィックスが付きます。

Microsoft Sentinel料金とLog Analytics料金は、選択した価格プランに基づいて個別の明細項目としてAzure請求に表示される場合があります。 簡略化された価格レベルは、該当価格レベルの 1 つの sentinel 明細項目として表されます。 インジェストと分析は毎日課金されます。 ワークスペースが特定の日にコミットメント レベルの使用量の割り当てを超えた場合、Azure課金には、関連付けられた固定コストを持つコミットメント レベルの 1 つの品目と、コミットメント レベルを超えるコストに対する個別の品目が、同じ有効なコミットメント レベルレートで課金されます。

Azure請求書を確認してダウンロードする方法。

その他のサービスのコストと価格

Microsoft Sentinelは、Azure Logic Apps、Azureノートブック、独自の機械学習（BYOML）モデルを使用して、他の多くのAzureサービスと統合されています。 一部のサービスには追加料金がかかる場合があります。 Microsoft Sentinelのデータ コネクタとソリューションの中には、データ インジェストにAzure Functionsを使用するものもあります。それには、個別の関連コストもあります。

これらのサービスの価格について説明します。

• Automation Logic Apps の価格
• Notebooks の価格
• BYOML の価格
• Azure Functionsの価格

使用するその他のサービスで、関連するコストが発生する可能性があります。

対話型および合計データ保有コスト

Log Analytics ワークスペースでMicrosoft Sentinelを有効にした後は、次の構成オプションを検討してください。

• そのワークスペースに取り込まれたすべてのデータを、最初の 90 日間無料で保持します。 90 日を超えるリテンション期間は、標準のLog Analytics保有価格に従って課金されます。
• 個々のデータの種類に対して異なる保持設定を指定します。 「データ型別のリテンション期間」を参照してください。
• データの保存期間を延長して、総合的なリテンションの設定によって履歴ログにアクセスできるようにします。 Microsoft Sentinel Data Lake は、規制コンプライアンスなどのデータを保持するための低コストの保持状態です。 格納およびスキャンされたデータの量に基づいて課金されます。 Data management > Tables を使用して、Analytics と Total の保有期間を調整し、Microsoft Sentinel データ レイクについて詳しく知る
• セカンダリ セキュリティ データを含むテーブルを Lake レベルに切り替えます。 これにより、大量の低価値のログを低価格で格納でき、クエリ機能が組み込まれています。 データ管理>テーブルを使用して、テーブルを Analytics から Lake レベルに切り替えます。

他の CEF インジェスト コスト

CEF は、Microsoft Sentinelでサポートされている Syslog イベント形式です。 CEF を使用して、さまざまなソースから Microsoft Sentinel ワークスペースに重要なセキュリティ情報を取り込みます。 CEF ログは、標準の up-to-date CEF フィールドをすべて含む、Microsoft Sentinelの CommonSecurityLog テーブルに格納されます。

多くのデバイスとデータ ソースでは、標準の CEF スキーマを超えるフィールドのログ記録をサポートします。 これらの追加フィールドは、AdditionalExtensions テーブルに格納されます。 これらのフィールド内のイベント コンテンツは可変でもかまわないため、これらのフィールドは標準の CEF フィールドよりインジェスト量が多くなる可能性があります。

リソースの削除後に発生する可能性があるコスト

Microsoft Sentinelを削除しても、それがデプロイされたLog Analyticsワークスペースや、そのワークスペースに発生する可能性のある個別の料金は削除されません。

無料データ ソース

次のデータ ソースは、Microsoft Sentinelでは無料です。

• Azure アクティビティ ログ
• Microsoft Sentinelヘルス
• Office 365監査ログ (すべてのSharePointアクティビティ、Exchange管理者アクティビティ、Teams を含む)
• 次のソースからのアラートを含むセキュリティ アラート:
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
• 次のソースからのアラート:
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

アラートは無料ですが、Microsoft Defender XDR、Microsoft Defender for Endpoint/Identity/Office 365/Cloud Apps、Microsoft Entra ID、Azure Information Protection (AIP) の一部のデータ型に関する生ログは有料です。

次の表に、課金されないMicrosoft SentinelとLog Analyticsのデータ ソースを示します。 詳細については、「除外されたテーブル」を参照してください。

1詳細については、「Microsoft Sentinel の監査と正常性の監視」を参照してください。

無料と有料両方のデータの種類が含まれるデータ コネクタに対しては、どちらのデータの種類を有効にしたいかを選択します。

無料データ ソースや有料 データ ソースなど、データ ソースを接続する方法の詳細について説明します。

詳細情報

• Microsoft Sentinel のコストを監視
• Microsoft Sentinel
• Microsoft Cost Managementを使用してクラウドへの投資を最適化する方法について説明します。
• コスト分析を使用してコストを管理する方法について詳細に説明します。
• 予期しないコストを回避する方法について説明します。
• Cost Management のガイド付き学習コースを受講します。
• Log Analyticsデータ 量の削減に関するその他のヒントについては、「Azure Monitor のベスト プラクティス - コスト管理」を参照してください。

次のステップ

deploy Microsoft Sentinel