Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kosten für Microsoft Sentinel stellen nur einen Teil der monatlichen Kosten Ihrer Azure-Rechnung dar. Zwar wird in diesem Artikel erläutert, wie Sie die Kosten für Microsoft Sentinel reduzieren, doch werden Ihnen alle Azure-Dienste und -Ressourcen in Rechnung gestellt, die im Rahmen Ihres Azure-Abonnements verwendet werden, einschließlich Diensten von Partnern.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Festlegen oder Ändern des Tarifs
Um höchste Einsparungen zu erzielen, überwachen Sie Ihr Aufnahmevolumen, um sicherzustellen, dass Sie über die Verpflichtungsstufe verfügen, die am ehesten mit Ihren Aufnahmevolumenmustern übereinstimmt. Erwägen Sie, ihre Verpflichtungsstufe zu erhöhen oder zu verringern, um sich an den geänderten Datenvolumes auszurichten.
Sie können Ihre Verpflichtungsstufe jederzeit erhöhen, wodurch der 31-Tage-Verpflichtungszeitraum neu gestartet wird. Um jedoch zur nutzungsbasierten Abrechnung zurückzukehren oder auf eine niedrigere Verpflichtungsstufe zu wechseln, müssen Sie warten, bis der 31-tägige Verpflichtungszeitraum endet. Die Abrechnung für Verpflichtungsstufen erfolgt täglich.
Um Ihren aktuellen Microsoft Sentinel-Tarif einzusehen, wählen Sie im linken Navigationsbereich von Microsoft Sentinel Einstellungen und dann die Registerkarte Preise aus. Ihr aktueller Tarif ist als Aktueller Tarif markiert.
Um die gebuchte Mindestabnahme zu ändern, wählen Sie auf der Preisseite einen der anderen Tarife und dann Übernehmen aus. Sie benötigen die Rolle Mitwirkender oder Besitzer für den Microsoft Sentinel-Arbeitsbereich, um den Tarif ändern zu können.
Weitere Informationen zum Überwachen Ihrer Kosten finden Sie unter Verwalten und Überwachen von Kosten für Microsoft Sentinel.
Für Arbeitsbereiche, die weiterhin klassische Tarife verwenden, enthalten die Microsoft Sentinel-Tarife keine Log Analytics-Gebühren. Weitere Informationen finden Sie unter vereinfachte Tarife.
Plan mit Vorauszahlung kaufen
Sparen Sie bei den Kosten der Microsoft Sentinel-Analyseebene, wenn Sie Microsoft Sentinel Commit-Einheiten (CUs) im Voraus kaufen. Verwenden Sie die vorab erworbenen CEs jederzeit während der einjährigen Laufzeit des Kaufs.
Alle berechtigten Microsoft Sentinel-Kosten werden zuerst von den vorab erworbenen CEs automatisch abgezogen. Um die Vorauszahlungsrabatte zu erhalten, ist es nicht erforderlich, für die CE-Nutzung einen Plan mit Vorauszahlung erneut bereitzustellen oder Ihren Microsoft Sentinel-Arbeitsbereichen zuzuweisen.
Weitere Informationen finden Sie unter Optimieren der Microsoft Sentinel-Kosten mit einem Plan mit Vorauszahlung.
Ablegen nicht sicherheitsrelevanter Daten in einem anderen Arbeitsbereich
Microsoft Sentinel analysiert alle Daten, die in für Microsoft Sentinel aktivierten Log Analytics-Arbeitsbereichen erfasst werden. Es empfiehlt sich ein separater Arbeitsbereich für nicht sicherheitsrelevante Betriebsdaten, um sicherzustellen, dass für diese keine Microsoft Sentinel-Kosten anfallen.
Verwenden Sie den Microsoft Sentinel-Datensee für niedrigere Detailtreue oder sekundäre Sicherheitsdaten.
Während die Analyseebene für die kontinuierliche Bedrohungserkennung in Echtzeit am besten geeignet ist, eignet sich der Microsoft Sentinel-Datensee gut für Abfragen und Analysen sekundärer Sicherheitsdaten, die für die Echtzeit-Bedrohungserkennung nicht benötigt werden. Microsoft Sentinel Data Lake bietet Aufnahme und Speicherung zu erheblich reduzierten Kosten. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.
Optimieren der Log Analytics-Kosten mithilfe dedizierter Cluster
Wenn Sie in Ihrem Microsoft Sentinel-Arbeitsbereich bzw. in Arbeitsbereichen in derselben Region mindestens 100 GB pro Tag beanspruchen, sollten Sie zur Kostensenkung einen Umstieg auf einen dedizierten Log Analytics-Cluster in Betracht ziehen. Eine Mindestabnahme für einen dedizierten Log Analytics-Cluster aggregiert das Datenvolumen mehrerer Arbeitsbereiche, die zusammen mindestens 100 GB pro Tag erfassen. Weitere Informationen finden Sie unter Vereinfachter Tarif für dedizierte Cluster.
Sie können einem dedizierten Log Analytics-Cluster mehrere Microsoft Sentinel-Arbeitsbereiche hinzufügen. Der Einsatz eines dedizierten Log Analytics-Clusters für Microsoft Sentinel bietet verschiedene Vorteile:
Arbeitsbereichsübergreifende Abfragen erfolgen schneller, wenn sich alle an der Abfrage beteiligten Arbeitsbereiche im dedizierten Cluster befinden. Es empfiehlt sich nach wie vor, so wenig Arbeitsbereiche wie möglich in Ihrer Umgebung zu betreiben, und für einen dedizierten Cluster gilt unverändert die Obergrenze von 100 Arbeitsbereichen für die Einbeziehung in eine einzelne arbeitsbereichsübergreifende Abfrage.
Alle Arbeitsbereiche im dedizierten Cluster können die auf dem Cluster festgelegte Protokollanalyse-Verpflichtungsstufe gemeinsam nutzen. Nicht für jeden Arbeitsbereich separate Log Analytics-Verpflichtungsstufen einzugehen, kann zu Kosteneinsparungen und Effizienzsteigerungen führen. Indem Sie einen dedizierten Cluster aktivieren, verpflichten Sie sich zu einer Mindestverpflichtungsebene von 100 GB Log Analytics-Eingaben pro Tag.
Im Folgenden finden Sie einige weitere Überlegungen zum Umstieg auf einen dedizierten Cluster zur Kostenoptimierung:
- Die maximale Anzahl aktiver Cluster pro Region und Abonnement ist 2.
- Alle mit einem Cluster verknüpften Arbeitsbereiche müssen sich in der gleichen Region befinden.
- Mit einem Cluster können maximal 1000 Arbeitsbereiche verknüpft sein.
- Sie können die Verknüpfung eines Arbeitsbereichs mit Ihrem Cluster aufheben. Die Anzahl der Verknüpfungsvorgänge in einem bestimmten Arbeitsbereich ist innerhalb eines Zeitraums von 30 Tagen auf 2 begrenzt.
- Sie können einen vorhandenen Arbeitsbereich nicht in einen Cluster mit kundenseitig verwaltetem Schlüssel verschieben. Sie müssen den Arbeitsbereich im Cluster erstellen.
- Das Verschieben eines Clusters in eine andere Ressourcengruppe oder ein anderes Abonnement wird derzeit nicht unterstützt.
- Eine Verknüpfung eines Arbeitsbereichs mit einem Cluster schlägt fehl, wenn der Arbeitsbereich mit einem anderen Cluster verknüpft ist.
Weitere Informationen zu dedizierten Clustern finden Sie unter Dedizierte Log Analytics-Cluster.
Reduzieren Sie die Datenaufbewahrungskosten mit vollständiger Aufbewahrung
Microsoft Sentinel behält die Daten der Analyseebene standardmäßig für die ersten 90 Tage in Analyseaufbewahrung bei. Wenn Daten altern, verliert sie ihren Wert für Echtzeitanalysen und -untersuchungen. Benutzer im Security Operations Center (SOC) greifen möglicherweise nicht so häufig auf ältere Daten zu, möchten aber dennoch auf die Daten für breitere verlaufsbezogene Untersuchungen oder Überwachungszwecke zugreifen. Damit Sie die Kosten für die Aufbewahrung von Microsoft Sentinel-Daten reduzieren können, steht die gesamte Aufbewahrung zur Verfügung. Daten, die den Analyseaufbewahrungszeitraum überschreiten, können weiterhin zu deutlich reduzierten Kosten aufbewahrt werden, und mithilfe von Data-Lake-Explorationsfunktionen kann darauf zugegriffen werden. Weitere Informationen finden Sie unter Lake Exploration, KQL-Abfragen.
Verwenden Sie Datenverwaltungstabellen>, um den Analyse- und Gesamtaufbewahrungszeitraum anzupassen.
Verwenden von Datensammlungsregeln für sicherheitsrelevante Windows-Ereignisse
Mit dem Connector Windows-Sicherheitsereignisse können Sie sicherheitsrelevante Ereignisse von jedem Computer mit Windows Server streamen, der mit Ihrem Microsoft Sentinel-Arbeitsbereich verbunden ist, einschließlich physischer, virtueller oder lokaler Server bzw. in jeder Cloud. Dieser Connector unterstützt den Azure Monitor-Agent, der mithilfe von Datensammlungsregeln die von den einzelnen Agents zu sammelnden Daten definiert.
Datensammlungsregeln ermöglichen Ihnen das Verwalten von Sammlungseinstellungen nach Maß, während Sie gleichzeitig eindeutige und begrenzte Konfigurationen für Untergruppen von Computern zulassen. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.
Neben den vordefinierten Ereignismengen, die Sie für die Erfassung auswählen können, wie z. B. „Alle Ereignisse“, „Minimal“ oder „Allgemein“, können Sie mithilfe von Datenerfassungsregeln benutzerdefinierte Filter erstellen und bestimmte zu erfassende Ereignisse auswählen. Der Azure Monitor-Agent filtert anhand dieser Regeln die Daten aus der Quelle und erfasst nur die von Ihnen ausgewählten Ereignisse, während alles andere unberücksichtigt bleibt. Wenn Sie bestimmte zu erfassende Ereignisse auswählen, können Sie Kosten optimieren und sparen.
Nächste Schritte
- Erfahren Sie, wie Sie Ihre Cloudinvestitionen mit Microsoft Cost Management optimieren.
- Erfahren Sie mehr über die Verwaltung von Kosten mit der Kostenanalyse.
- Erfahren Sie, wie Sie unerwartete Kosten vermeiden.
- Nehmen Sie an dem angeleiteten Kurs Cost Management teil.
- Weitere Tipps zum Reduzieren des Log Analytics-Datenvolumens finden Sie unter Bewährte Azure Monitor-Methoden: Kostenverwaltung.
- Weitere Informationen zum Microsoft Sentinel-Datensee finden Sie unter Microsoft Sentinel-Datensee.
- Informationen zum Onboarding in Microsoft Sentinel-Data Lake finden Sie unter Onboarding von Daten in Microsoft Sentinel-Data Lake.