Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para estimar os custos esperados com o Microsoft Sentinel, use a ferramenta de estimativa de custos do Microsoft Sentinel e trabalhe diretamente com um especialista em vendas de segurança para obter uma cotação personalizada ou orientações adicionais.
Os custos de Microsoft Sentinel são apenas uma parte dos custos mensais em sua conta de Azure. Embora este artigo explique como planejar os custos e entender a cobrança de Microsoft Sentinel, você será cobrado por todos os serviços e recursos Azure que sua assinatura Azure usa, incluindo serviços de Parceiro.
Este artigo faz parte do guia de Implantação do Microsoft Sentinel.
Importante
Após March 31, 2027, Microsoft Sentinel não terá mais suporte no portal do Azure e estará disponível apenas no portal Microsoft Defender. Todos os clientes que usam Microsoft Sentinel no portal Azure serão diretórios para o portal Defender e usarão Microsoft Sentinel somente no portal Defender.
Se você ainda estiver usando Microsoft Sentinel no portal Azure, recomendamos começar a planejar sua transição para o portal Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Avaliação gratuita
Habilite o Microsoft Sentinel em um workspace do Azure Monitor Log Analytics e os primeiros 10 GB/dia ingeridos usando o plano de logs Analytics são gratuitos por 31 dias. O custo para a ingestão de dados Log Analytics e os encargos de análise Microsoft Sentinel até o limite de 10 GB/dia são dispensados durante o período de avaliação de 31 dias. Esta avaliação gratuita está sujeita a um limite de 20 workspaces por locatário Azure.
Consulte a página Microsoft Sentinel preços para obter informações sobre como o uso além desses limites é cobrado. As taxas referentes a recursos adicionais, como automação e traga seu próprio machine learning, continuam sendo aplicáveis durante o período de avaliação gratuita, assim como quaisquer taxas relacionadas ao data lake do Microsoft Sentinel.
Durante sua avaliação gratuita, encontre recursos para gerenciamento de custos, treinamento e muito mais na guia Notícias e guias > avaliação gratuita no Microsoft Sentinel no portal do Azure. Essa guia também exibe detalhes sobre as datas da avaliação gratuita e quantos dias faltam até a expiração da avaliação.
Entender o modelo de cobrança completo para Microsoft Sentinel
Microsoft Sentinel oferece um modelo de preço flexível e previsível. Para obter mais informações, consulte a página de preços Microsoft Sentinel. Workspaces com mais de julho de 2023 podem ter encargos de workspace do Log Analytics separados do Microsoft Sentinel em um tipo de preço clássico. Para obter os custos relacionados de Log Analytics, consulte preços do Azure Monitor Log Analytics.
Microsoft Sentinel é executado na infraestrutura do Azure que acumula custos quando você implanta novos recursos. É importante entender que pode haver outros custos de infraestrutura adicionais acumulados.
Como a cobrança é feita pelo Microsoft Sentinel
O preço é baseado na camada na qual os dados são ingeridos. Para obter mais informações sobre camadas e planos, consulte camadas de dados no Microsoft Sentinel.
Camada de análise
Há duas maneiras de pagar pela camada de análise: pagamento conforme o uso e camadas por compromisso.
Pagamento conforme o uso é o modelo padrão, com base no volume de dados real armazenado e, opcionalmente, para retenção de dados além de 90 dias. O volume de dados é medido em GB (109 bytes).
O Log Analytics e o Microsoft Sentinel têm preços baseados em nível de compromisso, anteriormente conhecidos como Reservas de Capacidade. Esses tipos de preços são combinados em tipos de preço simplificados que são mais previsíveis e oferecem economias substanciais em comparação com os preços de pagamento conforme o uso .
A precificação da camada de compromisso começa a partir de 100 GB por dia. Qualquer uso acima do nível de compromisso é cobrado com base na taxa de Nível de Compromisso selecionada. Por exemplo, um Nível de Compromisso igual a 100 GB por dia cobra você pelo volume de dados de 100 GB estabelecido no compromisso, além de GB/dia extra com base na taxa com desconto em vigor para esse nível. O Preço em vigor por GB é simplesmente o Preço do Microsoft Sentinel dividido pela quantidade de GB por dia do Nível. Para obter mais informações, consulte Microsoft Sentinel preços.
Aumente seu nível de compromisso a qualquer momento para otimizar os custos à medida que o seu volume de dados aumenta. A redução do nível de compromisso só é permitida a cada 31 dias. Para ver o tipo de preço atual do Microsoft Sentinel, selecione Configurações no Microsoft Sentinel e depois selecione a guia Preços. Seu tipo de preço atual está marcado como Camada atual.
Para definir e alterar o nível de compromisso, confira Definir ou alterar o tipo de preço. Alterne os workspaces anteriores a julho de 2023 para a experiência simplificada de tipos de preços para unificar os medidores de cobrança. Ou continue usando os tipos de preço clássicos que separam os preços do Log Analytics do preço clássico do Microsoft Sentinel.
Camada do data lake
Para saber mais sobre o data lake Microsoft Sentinel, consulte Microsoft Sentinel data lake.
A camada data lake incorre em encargos com base no uso de várias funcionalidades do data lake.
- A ingestão no data lake é cobrada por GB para todos os dados ingeridos em tabelas cuja retenção está definida somente para a camada do data lake. As taxas de ingestão do data lake não se aplicam quando os dados são ingeridos em tabelas cuja retenção está definida para incluir as camadas analítica e do data lake.
- O processamento de dados é cobrado por GB pelos dados ingeridos em tabelas com retenção definida apenas para a camada data lake. Ele dá suporte a transformações como redação, divisão, filtragem e normalização. Os encargos de processamento de dados não se aplicam quando os dados são ingeridos em tabelas com retenção definida para incluir camadas analíticas e de data lake.
- Os encargos de armazenamento do data lake são aplicados por GB por mês para todos os dados que permanecem na camada data lake após o término do período de retenção da camada analítica. Os encargos são baseados em uma taxa de compactação de dados simples e uniforme de 6:1. Por exemplo, se você reter 600 GB de dados brutos, ele será cobrado como 100 GB de dados compactados.
- Os encargos de consulta do Data Lake se aplicam por hora de computação usada ao usar em sessões de notebook, executando trabalhos de notebook ou criando nós e bordas para grafos personalizados. As horas de computação são calculadas multiplicando o número de núcleos no pool selecionado para o notebook com o tempo em que uma sessão estava ativa ou um trabalho estava em execução. Sessões e jobs de notebooks no Data Lake estão disponíveis em pools de 12, 32 e 80 vCores.
Após a integração, o uso de workspaces do Microsoft Sentinel começa a ser cobrado por meio dos medidores descritos acima, em vez dos medidores de retenção de longo prazo (anteriormente conhecidos como Arquivo), pesquisa ou ingestão de logs auxiliares.
grafo Microsoft Sentinel
Grafos inseridos nos portais Defender e Purview
Visualizações gráficas, como buscas e análises de “raio de explosão” no portal do Microsoft Defender, assim como recursos de Gerenciamento de Riscos Internos e Investigações de Segurança de Dados no portal do Microsoft Purview, não geram custos de faturamento ou consumo. Para saber mais sobre os gráficos do Microsoft Purview e Defender impulsionados pelo Sentinel, consulte gráfico do Microsoft Sentinel.
Acessar gráficos do Defender e Purview por meio da coleção de ferramentas de gráfico MCP resulta em encargos adicionais.
Grafos personalizados
A cobrança de grafos personalizados do Sentinel é baseada em consumo, com operações de grafos cobradas por hora de computação. Para saber mais sobre os gráficos personalizados do Microsoft Sentinel, consulte Custom graphs.
As seguintes operações personalizadas do Graph são cobradas por hora de computação no âmbito do medidor do Graph:
Criando um grafo usando blocos de anotações em Visual Studio Code.
Consultando um grafo usando blocos de anotações no Visual Studio Code.
Consultar um grafo usando os recursos gráficos do Sentinel através do portal do Defender.
Consultando um grafo usando APIs de Consulta do Graph.
Consultando um grafo usando a coleção de ferramentas de grafo do Sentinel MCP.
Custos do gráfico
Os custos da computação gráfica são calculados multiplicando-se as horas de núcleo pelo tempo de execução, pelo número de vCores no SKU selecionado e pelo preço do medidor gráfico da Sentinel. Atualmente, existe apenas uma SKU de gráfico: ela utiliza 49 vCores para construção de gráficos e 6 vCores para consultas, com um tempo mínimo de execução de consulta de um minuto.
Por exemplo, quando você executa um trabalho do Notebook por uma hora e usa APIs de grafo para criar um grafo que leva cinco minutos, o custo do grafo é calculado como:
cost = 49 × (Price per vCore hour) × (5/60)
Da mesma forma, se as consultas de grafo levarem um minuto para serem concluídas, o custo será determinado como:
cost = 6 × (Price per vCore hour) × (1/60)
Toda computação de notebook/Spark e armazenamento do Data Lake usados para transformar dados e gerar nós e arestas para o gráfico são cobrados separadamente pelos medidores do Data Lake do Sentinel (Armazenamento de Data Lake e Advanced Data Insights).
Servidor MCP (Modelo de Protocolo de Contexto Sentinel)
O servidor DO SENTINEL MCP é uma camada de interface que expõe os recursos da plataforma Sentinel a agentes de IA. Não há custo adicional para usar o servidor MCP em si. As ferramentas do Microsoft Copilot for Security (MCP) dependem de serviços do Sentinel, como consultas de Data Lake ou operações de gráficos, que são cobradas de acordo com seus respectivos medidores. Além disso, determinadas ferramentas, como o analisador de entidade, podem consumir SCUs (Unidades de Computação de Segurança) quando a execução do raciocínio de IA é necessária. Os clientes são cobrados apenas pelos serviços de plataforma subjacentes e pela computação que consomem.
Ferramentas de data lake do Microsoft Sentinel MCP
Para saber mais sobre as ferramentas do data lake, consulte a coleção de ferramentas de exploração de dados no servidor MCP do Microsoft Sentinel.
Instalar e configurar o servidor MCP unificado do Microsoft Sentinel não tem nenhum custo. No entanto, usar essas ferramentas para pesquisar ou recuperar dados por meio de consultas KQL (Linguagem de Consulta Kusto) no Data Lake do Microsoft Sentinel aciona o medidor de consulta do Data Lake. Para saber mais, consulte preços do Lago de Dados do Microsoft Sentinel.
Microsoft Sentinel analisador de entidades MCP
Para saber mais sobre o analisador de entidades, consulte o analisador de entidade.
Os clientes são cobrados pelas Unidades de Cálculo de Segurança (SCUs) usadas para raciocínio de IA que gera a análise de risco de entidade, a qual se baseia na prevalência, inteligência de ameaças e relações.
Os direitos de Security Copilot existentes se aplicam. Qualquer uso que exceda seu direito Microsoft 365 E5 incorre em encargos adicionais. Os excedentes de SCU são cobrados somente quando o uso excede o valor provisionado e os clientes são cobrados apenas pelas SCUs consumidas. Para obter mais informações, consulte Faturamento do Sentinel MCP e Introdução ao Microsoft Security Copilot para obter informações sobre SCUs.
Além disso, ao usar o analisador de entidade, os clientes são cobrados pelas consultas KQL executadas no data lake Microsoft Sentinel.
ferramenta de triagem do MCP Microsoft Sentinel
Para saber mais sobre a ferramenta de triagem, consulte a coleção de ferramentas Triagem.
A instalação, a configuração e o uso da ferramenta de triagem não têm custo, desde que você esteja integrado aos produtos e serviços necessários. Você pode obter acesso à triagem sem custo adicional quando Microsoft Defender, Microsoft Defender para Ponto de Extremidade ou Microsoft Sentinel estiver configurado no portal Microsoft Defender.
Compreender a fatura do Microsoft Sentinel
Os medidores faturáveis são os componentes individuais do serviço que aparecem em sua fatura e são mostrados em Gerenciamento de Custos da Microsoft. Ao final do período de cobrança, os preços de cada medidor serão somados. Sua fatura ou nota fiscal mostra uma seção para os custos do Microsoft Sentinel. Há um item em linha separada para cada medidor.
Para ver sua fatura de Azure, selecione Cost Analysis na navegação à esquerda do Cost Management. Na tela análise de custo, localize e selecione os detalhes da fatura de Todos os modos de exibição. Para entender o nível de acesso necessário para exibir informações de cobrança, consulte Manage acesso às informações de cobrança para Azure.
Os custos mostrados na imagem a seguir são apenas para fins de exemplo. Eles não têm a finalidade de refletir os custos reais. A partir de 1º de julho de 2023, os tipos de preços antigos serão prefixados como Clássico.
As cobranças do Microsoft Sentinel e do Log Analytics podem aparecer na sua fatura do Azure como itens de linha separados, com base no plano de preços selecionado. Os tipos de preço simplificados são representados como um único item de linha sentinel para o tipo de preço. A ingestão e a análise são cobradas diariamente. Se o seu workspace exceder a alocação de uso do nível de compromisso em um determinado dia, a fatura do Azure mostrará um item de linha para o nível de compromisso com o custo fixo associado e um item de linha separado para o custo além do nível de compromisso, cobrado com base na mesma taxa em vigor do nível de compromisso.
As guias a seguir mostram como os custos de Microsoft Sentinel aparecem nas colunas Service e Meter da fatura do Azure, dependendo do tipo de preço simplificado.
Se você for cobrado com base na taxa simplificada do nível de compromisso, essa tabela mostrará como os custos do Microsoft Sentinel aparecem nas colunas Nome do serviço e Medidor da sua fatura do Azure.
| Descrição do custo | Nome do serviço | Medidor |
|---|---|---|
| Camada de compromisso do Microsoft Sentinel | Sentinel |
n Nível de compromisso de GB |
| Excesso da camada de compromisso do Microsoft Sentinel | Sentinel |
Análise |
Saiba como visualizar e baixar sua fatura do Azure.
Custos e preços para outros serviços
O Microsoft Sentinel integra-se a muitos outros serviços do Azure, incluindo Aplicativos Lógicos do Azure, Azure Notebooks e traga seus próprios modelos de BYOML (aprendizado de máquina). Alguns desses serviços podem ter encargos adicionais. Alguns dos conectores de dados e soluções da Microsoft Sentinel usam Azure Functions para ingestão de dados, que também tem um custo associado separado.
Saiba mais sobre preços para esses serviços:
- Preços dos Aplicativos Lógicos de Automação
- Preços de notebooks
- Preços de BYOML
- Preços do Azure Functions
Qualquer outro serviço usado pode ter custos associados.
Custos de retenção de dados interativos e totais
Depois de habilitar Microsoft Sentinel em um workspace Log Analytics, considere estas opções de configuração:
- Retenção gratuita de todos os dados ingeridos no espaço de trabalho durante os primeiros 90 dias. A retenção além de 90 dias é cobrada de acordo com os preços de retenção padrão Log Analytics.
- Especifique as diferentes configurações de retenção para tipos de dados individuais. Saiba mais sobre a retenção por tipo de dados.
- Estenda a retenção de dados com retenção total para que você tenha acesso aos logs históricos. O "data lake" do Microsoft Sentinel é um estado de retenção de baixo custo para preservação de dados, tais como conformidade regulatória. Ele é cobrado com base no volume de dados armazenados e verificados. Use as Tabelas de Gerenciamento de Dados > para ajustar o período de retenção total e de análises e saber mais, consulte O que é o data lake do Microsoft Sentinel?
- Altere as tabelas que contêm dados de segurança secundários para Camada Lake. Isso permite que você armazene logs de alto volume e baixo valor a um preço baixo, com recursos de consulta internos. Use > para mover tabelas do Analytics para a camada Lake.
Custos adicionais de ingestão de CEF
O CEF é um formato de eventos Syslog com suporte no Microsoft Sentinel. Use o CEF para trazer informações de segurança valiosas de várias fontes para seu workspace Microsoft Sentinel. Os logs de CEF chegam na tabela CommonSecurityLog no Microsoft Sentinel, que inclui todos os campos de CEF atualizados padrão.
Muitos dispositivos e fontes de dados dão suporte a registro em log de campos além do esquema de CEF padrão. Esses campos adicionais chegam na tabela AdditionalExtensions. Esses campos podem ter volumes de ingestão mais altos do que os campos CEF padrão, porque o conteúdo do evento dentro desses campos pode ser variável.
Custos que podem ser acumulados após a exclusão de recursos
A remoção do Microsoft Sentinel não remove o workspace do Log Analytics em que o Microsoft Sentinel foi implantado ou qualquer cobrança separada que o workspace pode estar incorrendo.
Fontes de dados gratuitas
As seguintes fontes de dados são gratuitas com Microsoft Sentinel:
- Logs de atividades do Azure
- Saúde do Microsoft Sentinel
- Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, as atividades de administrador do Exchange e o Teams
- Alertas de segurança, incluindo alertas das seguintes fontes:
- Microsoft Defender XDR
- Microsoft Defender para Nuvem
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade
- Microsoft Defender para Aplicativos de Nuvem
- Microsoft Defender para Ponto de Extremidade
- Alertas das seguintes fontes:
- Microsoft Defender para Nuvem
- Microsoft Defender para Aplicativos de Nuvem
Embora os alertas sejam gratuitos, os logs brutos de alguns tipos de dados do Microsoft Defender XDR, de aplicativos do Microsoft Defender para Nuvem/Ponto de Extremidade/Identidade/Office 365, do Microsoft Entra ID e da Proteção de Informações do Azure (AIP) são pagos.
A tabela a seguir lista as fontes de dados em Microsoft Sentinel e Log Analytics que não são cobradas. Para obter mais informações, consulte tabelas excluídas.
| conector de dados Microsoft Sentinel | Tipo de dados gratuitos |
|---|---|
| Azure Activity | AzureActivity |
| Monitoramento de Saúde para Microsoft Sentinel1 | SentinelHealth |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Microsoft 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Equipes) | |
| Microsoft Defender para Nuvem | SecurityAlert (Central de Segurança do Azure) |
| Microsoft Defender para IoT | SecurityAlert (Central de Segurança do Azure para IoT) |
| Microsoft Defender XDR | Incidente de Segurança |
| Alerta de Segurança | |
| Microsoft Defender para Ponto de Extremidade | SecurityAlert (MDATP) |
| Microsoft Defender para Identidade | SecurityAlert (AATP) |
| Microsoft Defender para Aplicativos de Nuvem | SecurityAlert (MCAS) |
| Microsoft Defender para Office 365 (versão prévia) | SecurityAlert (OATP) |
1Para obter mais informações, consulte Auditoria e monitoramento de integridade para o Microsoft Sentinel.
Para conectores de dados que incluem tipos de dados gratuitos e pagos, selecione quais tipos de dados você deseja habilitar.
Saiba mais sobre como conectar fontes de dados, incluindo fontes de dados gratuitas e pagas.
Saiba mais
- Monitorar custos do Microsoft Sentinel
- Reduzir custos para Microsoft Sentinel
- Saiba como otimizar seu investimento em nuvem com Gerenciamento de Custos da Microsoft.
- Saiba mais sobre como gerenciar custos com a análise de custos.
- Saiba mais sobre como evitar custos inesperados.
- Faça o curso de aprendizado orientado de Gerenciamento de Custos.
- Para obter mais dicas sobre como reduzir Log Analytics volume de dados, consulte Azure Monitor práticas recomendadas – Gerenciamento de custos.